Hack the Box - Sherlocks : découverte et solution de Tracer

Mickael Dorigny - ITConnect - 01/09
Vous avez besoin d'aide pour le challenge Sherlocks Tracer du site Hack the Box ? Voici nos explications détaillées et une solution dans ce writeup Tracer.

Sommaire

  • I. Présentation
  • II. Découverte de l'archive et des journaux
  • III. Investigation numérique : le cas Tracer
    • A. Détecter l'utilisation de PsExec avec Zircolite
    • B. Visualiser la timeline de l'attaque avec Zircolite
  • IV. Notions abordées
  • V. Conclusion

I. Présentation

On se retrouve dans cet article pour une nouvelle solution de l'un des challenges d'investigation numérique/forensic nommés Sherlocks et mis à disposition par la plateforme Hack The Box. Dans cet article, nous allons détailler la démarche qui permet de résoudre le Sherlocks Tracer, de difficulté "débutant". Il s'agit d'investiguer sur les traces d'une cyberattaque ciblant un système d'exploitation Windows.

Cet article sera notamment l'occasion de comprendre comment peut se dérouler concrètement une cyberattaque, et quels sont les modes opératoires des attaquants et des analystes en cybersécurité. Je vais ici vous détailler la marche à suivre en utilisant l'outil d'investigation sur les journaux Zircolite, cela vous permettra de voir son utilisation dans un contexte réaliste.

Lien du challenge : Hack The Box - Sherlocks - Tracer

Cette solution est publiée en accord avec les règles d'HackThebox et ne sera diffusée que lorsque le Sherlocks en question sera indiqué comme "Retired".

Technologies abordéesWindows, EVTX, PsExec
Outils utilisésZircolite, jq

Retrouvez tous nos articles Hack The Box via ce lien :

  • IT-Connect - Articles Hack The Box

II. Découverte de l'archive et des journaux

Dans le cadre de l'investigation, un contexte et une archive sont mis à notre disposition :

Nous sommes donc un analyste SOC et avons à disposition différentes traces sur lesquels investiguer. Nous savons que plusieurs alertes concernant l'exécution de l'outil PsExec ont été émises depuis le poste utilisateur en question.

PsExec est un utilitaire de la suite Sysinternals de Microsoft permettant l'exécution de commandes à distance sur des systèmes Windows. Bien qu'initialement légitime, il est souvent utilisé de manière malveillante par les attaquants afin d'accéder à distance à des systèmes, se déplacer latéralement dans un réseau, exécuter des commandes avec des privilèges élevés, ou désactiver des fonctions de sécurité.

Si l'on regarde à l'intérieur de l'archive, nous avons les données suivantes :

$ tree | tail -n 1 8 directories, 398 files

Près de 400 fichiers répartis dans 8 dossiers ! Cela représente pas mal de travail, en plus de ne pas vraiment savoir quoi chercher, nous ne saurons pas où chercher. En regardant d'un peu...
[Courte citation de 8% de l'article original]