dynatrace

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
angelique
Messages : 31514
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

dynatrace

par angelique »

Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Avatar de l’utilisateur
Parisien_entraide
Messages : 12079
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

ma

par Parisien_entraide »

Hi :-)

Je pensais avoir un truc là dessus car ce n'est pas récent comme boite mais disons que pour vraiment simplifier, et surtout vu côté utilisateur, c'est .. un gros mouchard (du reste j'ai des alertes de partout avec tes liens :-) et j'ai été obligé d'ouvrir un profil vierge de navigateur sans protections, dans sandboxie pour visualiser


https://www.dynatrace.com/
https://www.dynatrace.fr/

https://wikiless.org/wiki/Dynatrace?lang=fr

Evidemment côté client c'est fait pour.. de l'observabilité https://www.lesechos.fr/idees-debats/ce ... st-1036872

C'est donc l'outil idéal pour un site web (problèmes, gestion des erreurs etc)

Mais c'est la partie visible de l'iceberg, car si tu passes par ex chez Amazon en tant qu'utilisateur, et client, tous les trackers de mettent en rouge (surtout si tu t'identifies) mais tu ne le verras pas puisqu'il s'agit d'un tracker positionné sur le cloud AWS (où tu as ton identification)
C'est ce qui permet à Amazon de se "souvenir" qu'il y a 3 ans tu as recherché tel ou tel truc ou que l'on te proposes tel truc en fonction de ce que tu as recherché par le passé

Sans compter que pour l'aspect tracking, suivant les outils utilisés, cela ressemble à ce que j'avais sous firefox avec LightBeam
Sinon
2022-06-10_130632.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
angelique
Messages : 31514
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: dynatrace

par angelique »

OK mais pas sure d'avoir tout compris , malgré une analyse frst sur cette machine qui ne met rien en avant, l'antivirus bloque des requetes, donc y'aurait un truc / tracker dans la machine pour faire de l'observabilité ?

ou c'est le client , si j'ai compris, qui chaque fois qu'il se connecte chez amazon, l'antivirus bloque le tracker qui fait de l'observabilité ?
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Avatar de l’utilisateur
Parisien_entraide
Messages : 12079
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: dynatrace

par Parisien_entraide »

Ahhh c'est plus en lien avec le serveur AWS en fait

Il a été vu des campagnes de ransomwares (et crypto miner) pas en attaque mais en hébergement Azure et AWS en sous domaines malveillants), qui se servent de DuckDNS, https://www.duckdns.org/ qui est un service DNS dynamique légitime, en fait ils prennent le nom qu'ils veulent, comme avec Dynatrace histoire de faire passer la chose pour du légitime


Pour faire un // c'est comme les emmerdeurs qui t'appellent à 23h pour te vendre une cuisine aménagée ou une mutuelle, avec un numéro "local" qui est en fait un numéro virtuel qui peut disparaitre en quelques jours, qui émane d'un centre d'appel en Belgique par ex (sauf là c'est légal)


Par contre l'adresse que tu indiques semble avoir disparue (perso je n'ai aucune alerte) , mais elle doit exister dans une base antivirus (protection de navigation) mais il y a peut etre quelque chose à la base qui fait appel à cette adresse (possible infection donc ou des traces restantes)
(il me semble avoir vu passer cela sur bleeping computer il y a quelques mois)

Ce qui avait été décrit pour les ransomwares hébergés AWS en janvier 2022 :

"La chaîne d'attaques commence de manière typique : par un e-mail de phishing, souvent déguisé en facture.
Ces messages sont accompagnés de fichiers .ZIP qui, une fois ouverts, révèlent une image ISO. Le fichier ISO est équipé d'un chargeur malveillant pour les chevaux de Troie via JavaScript, un fichier batch Windows ou un script Visual Basic.

Si une victime tente de charger l'image disque, ces scripts se déclenchent. Conçus pour déployer Nanocore, Netwire et AsyncRAT, les scripts se connectent à un serveur de téléchargement pour récupérer une charge utile – et c'est là qu'un service de cloud public entre en jeu.(ex d'AWS)

Pourtant, les scripts de téléchargement utilisent des techniques d'obscurcissement pour dissimuler ces activités. Le JavaScript contient quatre couches d'obscurcissement, chaque nouveau processus malveillant étant généré après l'épluchage de la couche précédente. Le fichier batch contient des commandes obscurcies qui exécutent PowerShell pour récupérer la charge utile, et le fichier VBScript utilise également des commandes PowerShell."


Edit : J'ai trouvé une analyse

https://blog.talosintelligence.com/2022 ... ading.html
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
angelique
Messages : 31514
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: dynatrace

par angelique »

ok merci de éclaircissement, je connais les techniques d'obfuscation JS, j'ai bien vu que le lien Dynatrace n'amenait sur plus rien, mais ce qui m'intrigue, malgré ma bonne connaissance de frst, rien dans les clefs sensibles , run, services, tasks, ... ne montre de charge qui pourrait se logguer sur https://bf27729yho.bf.dynatrace.com/ pour récupérer le dropper du ramsome.

Toute façon le lien Dynatrace n'amène plus sur rien.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Avatar de l’utilisateur
Parisien_entraide
Messages : 12079
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: dynatrace

par Parisien_entraide »

Malekal pourrait en dire plus, mais à mon humble avis cela peut se cacher au sein d'un navigateur, d'une de ses extensions (possiblement légitime mais vérolée etc donc FRST ne voit rien
C'est pour cela qu'il faut réinitialiser les navigateurs avec les infections récentes APRES avoir supprimé la cause
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Avatar de l’utilisateur
angelique
Messages : 31514
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: dynatrace

par angelique »

PDT_018 merci pour ta participation Parisien_entraide
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Avatar de l’utilisateur
Parisien_entraide
Messages : 12079
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: dynatrace

par Parisien_entraide »

Mais Malekal n'as pas confirmé ni infirmé :- )


M'enfin j'ai souvent vu des navigateurs avec des véroles où l'on trouvait des IP en leur sein (du reste on peut en modifier soi même par ex dans Firefox avec about:config)

Le reste c'est lié aux modules complémentaires qui évidemment communiquent vers l'extérieur et dont les adresses peuvent être modifiées (même si c'est plus difficile depuis le passage aux web extension
Tout cela est visible avec WireShark par ex
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

Re: dynatrace

par Malekal_morte »

Alors j'essayerai de regarder.
En fait, je ne suis pas chez moi et je n'ai internet que depuis hier ou avant hier (avant en mobile)...
Donc j'étais pas très présent !
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
angelique
Messages : 31514
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: dynatrace

par angelique »

Les alertes, remontées de la console d'administration et de gestion de Panda du 10/06 étaient les dernières, pas d'autres depuis donc c'est résolu.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

Re: dynatrace

par Malekal_morte »

Le problème de FRST c'est qu'il peut mettre en évidence que les anomalies que tu peux voir.
Là la connexion on ne sait même pas si elle est malveillante ou pas.
Panda ne donne pas le processus source :(
Ca semble être plus un domaine lié à de la télémétrie, qu'un lien réellement malveillant (C&C),
Ca se trouve, c'est un faux positif.

Il aurait fallu faire tourner un outil qui permet de voir les connexions établies pour trouver la source, vu que Panda ne le fait pas.
Ca aurait pu aiguiller.

Mais vu que là, tu n'en as pas d'autres.
Faut pas s'inquiéter plus que ça, je pense.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 12079
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: dynatrace

par Parisien_entraide »

En fait le lien était malveillant, mais comme il a une durée de vie limitée, que le nom est bidon (duckDNS) il ne remontait plus rien au bout d'un certain temps
Par contre il était dans la base Panda qui le signalait

Après je pense qu'ils se débarrassent des ces adresses une fois qu'elles ne sont plus actives sinon ca serait monstrueux en terme de volume (même si il s'agit d'une base cloud)
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes

Revenir à « Securite informatique »