# DeepBlueHash

Mise en liste blanche ("safelisting") de type "détective" en utilisant les journaux d'événements Sysmon.

Ce script analyse les journaux d'événements Sysmon, récupérant les hachages SHA256 des événements de création de processus (événement 1), de chargement de pilote (événement 6, .sys), et de chargement d'image (événement 7, .dll).

## Configuration de VirusTotal et de la liste blanche

**Note** : Virustotal a modifié son API gratuite pour certains utilisateurs. Mon ancien compte a cette limitation :

- Quota journalier : 1 requête / jour
- Quota mensuel : 31 requêtes / mois

Les nouveaux comptes obtiennent ceci :

- Taux de requêtes : 4 requêtes / min
- Quota journalier : 500 requêtes / jour
- Quota mensuel : 15 500 requêtes / mois

Je ne suis pas sûr de la raison de ce changement, donc c'est pour votre information.

Mise en place des soumissions de hachages à VirusTotal et de la liste blanche :

Le vérificateur de hachage nécessite VirusTotalAnalyzer : https://github.com/EvotecIT/VirusTotalAnalyzer

Il nécessite également une clé d'API VirusTotal :

- https://www.virustotal.com/en/documentation/public-api/

Le script suppose une clé d'API personnelle et attend 15 secondes entre les soumissions.

## Configuration de Sysmon

Sysmon est requis : https://docs.microsoft.com/fr-fr/sysinternals/downloads/sysmon

Il doit journaliser le hachage SHA256, DeepBlueHash ignorera les autres.

Cette configuration minimale de Sysmon 6.0 journalisera les événements/hachages appropriés. Notez que la journalisation des images (.dll) peut créer des problèmes de performance. Cette configuration ignore les DLL signées par Microsoft (ce qui devrait alléger la charge), mais veuillez tester !

```xml
<Sysmon schemaversion="3.3">
    <HashAlgorithms>SHA256</HashAlgorithms>
  <EventFiltering>
        <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>
            <ImageLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </ImageLoad>
        <ProcessTerminate onmatch="include" />
        <ProcessCreate onmatch="exclude" />
  </EventFiltering>
</Sysmon>

Ce sont les événements utilisés par DeepBlueCLI et DeepBlueHash.

Vous pouvez aller beaucoup plus loin que cela avec Sysmon. La page Sysmon de Sysinternals a une bonne configuration de base : https://docs.microsoft.com/fr-fr/sysinternals/downloads/sysmon

Consultez également l'excellente configuration Sysmon de @swiftonsecurity ici : https://github.com/SwiftOnSecurity/sysmon-config

Générer une liste blanche (Safelist)
Générez une liste blanche personnalisée sur Windows (note : c'est optionnel) :

PS C:\> Get-ChildItem c:\windows\system32 -Include '*.exe','*.dll','*.sys','*.com' -Recurse | Get-FileHash| Export-Csv -Path safelist.csv

Note : cela générera des avertissements (inoffensifs) de type 'PermissionDenied' pour les fichiers verrouillés, etc. Ils peuvent être ignorés.