Hack the box - Sherlocks : découverte et solution de Litter

Florian BURNEL - ITConnect - 24/04
Vous avez besoin d'aide pour le challenge Sherlocks Litter du site Hack the box ? Voici nos explications détaillées et une solution dans ce walkthrough Litter.

Sommaire

  • I. Présentation
  • II. Découverte de l'archive
  • III. Investigation numérique : le cas Litter
    • A. Tâche n°1: Identifier le protocole utilisé
    • B. Tâche n°2 : Identifier l'IP suspecte
    • C. Tâche n°3 : une commande via DNS ?
    • D. Tâche n°4 : dnscat2
    • E. Tâche n°5 : un attaquant presque discret
    • F. Tâche n°6 : Enumeration utilisateur
    • G. Tâches n°7 et 8 : fuite d'informations sensibles
  • IV. Résumé de l'attaque
  • V. Notions abordées
    • A. Côté analyste
    • B. Côté défense
    • C. Côté attaquant
  • V. Conclusion

I. Présentation

Je vous propose dans cet article un writeup du Sherlocks Litter proposé par Hack The Box. Cette investigation nous permettra notamment de manipuler Wireshark pour explorer un cas de protocol tunneling via le DNS : une technique utilisée pour faire communiquer discrètement un système compromis avec le serveur de contrôle distant d'un attaquant.Les Sherlocks sont des challenges d'investigation numérique/forensic mis à disposition par la plateforme Hack The Box. Dans cet article, nous allons détailler la démarche qui permet de résoudre le Sherlocks Litter, de difficulté "Facile". Cet article sera notamment l'occasion de comprendre comment peut se dérouler concrètement une cyberattaque, et quels sont les modes opératoires des attaquants et des analystes en cybersécurité.

Lien du challenge : Hack The Box - Sherlocks - Litter

Cette solution est publiée en accord avec les règles d'HackThebox et ne sera diffusée que lorsque le Sherlocks en question sera indiqué comme "Retired".

Technologies abordéesWindows, DNS, protocol tunneling
Outils utilisésWireshark, python

Retrouvez tous nos articles Hack The Box via ce lien :

  • IT-Connect - Articles Hack The Box

II. Découverte de l'archive

Dans le cadre de l'investigation, un contexte et une archive sont mis à disposition :

D'après les éléments de contexte qui nous sont fournis, l'hôte ciblé semble être utilisé pour tout et n'importe quoi et par n'importe qui. Cela ne va certainement pas nous aider à comprendre ce qui est légitime de ce qui ne l'est pas. Également, nous apprenons que des données de l'entreprise y ont été volées.

Nous commençons donc par ouvrir l'archive à sur notre Kali Purple fraîchement installée. À l'intérieur, un fichier Wireshark, un célèbre outil d'analyse réseau :

III. Investigation numérique : le cas Litter

A. Tâche n°1: Identifier le protocole utilisé

  • Énoncé - Task 1 : At a glance, what protocol seems to be suspect in this attack?

La première tâche consiste à identifier le protocole qui semble avoir été utilisé pour la réalisation de l'attaque. Wireshark nous permet d'avoir des statistiques intéressantes concernant la volumétrie des protocoles au sein d'un même fichier ".pcap" :

Si l'on cherche les protocoles les plus utilisés, 4 candidats sont intéressants : les protocoles UDP "QUIC IETF" et "DNS", ainsi que les protocoles TCP "TLS" et "HTTP".

Après quelques recherches, je comprends que QUIC IETF est censé être un "nouveau" protocole de transport (com...
[Courte citation de 8% de l'article original]