Collecter les traces de compromission d’un système Linux

Mickael Dorigny - ITConnect - 02/09
Ma machine Linux a été compromise, comment collecter les traces de compromission ? La réponse dans ce tutoriel où nous allons utiliser l'outil Linux CatScale.

Sommaire

  • I. Présentation
  • II. Qu'est-ce que Linux CatScale ?
  • III. Collecter les traces de compromission avec Linux CatScale
  • IV. Analyse des traces de compromission
    • A. Extraction de l’archive
    • B. Structure de l’archive Linux CatScale
  • V. Pour aller plus loin
    • A. Analyser plusieurs systèmes
    • B. Utiliser des règles Yara sur les traces collectées
    • C. Envoi des données collectées sur un SIEM ELK
  • VI. Conclusion

I. Présentation

Dans cet article, nous allons faire un tour d’horizon de l’outil Linux CatScale, un script de collecte des traces de compromission pour système Linux fournis par WithSecureLabs. Nous verrons notamment en quoi consiste une collecte des traces dans le cadre d’une analyse forensic, quels sont les éléments récupérés par Linux CatScale sur un système et comment analyser et étudier ces éléments.

Cet article peut notamment être utile dans le cas où vous constatez une activité anormale sur votre serveur et que vous souhaitez réaliser une collecte rapide des éléments avant une potentiellement extinction de celui-ci. Cela vous permettra d’avoir quelques éléments à présenter à une équipe de réponse à incident. Le premier (mauvais) réflexe est en général de tout éteindre, ce qui efface une bonne partie des traces de compromission.

II. Qu'est-ce que Linux CatScale ?

Linux CatScale est avant tout un script bash, celui-ci vise à collecter au sein d’une archive tous les éléments qui pourront intéresser un analyste dans le cadre d’une investigation numérique, aussi connu sous l’acronyme DFIR (Digital Forensic Incident Response). Ces éléments sont par exemple :

  • Les processus en cours d’exécution ;
  • Les utilisateurs actuellement connectés ;
  • la liste des fichiers modifiés récemment ;
  • les journaux d’évènements ;
  • les connexions actives ;
  • etc.

Toutes ces informations seront archivées dans un fichier au format “.tar.gz” qui pourra ensuite être copié sur le poste d’un analyste pour une étude approfondie de son contenu. Pour rappel, le processus d’investigation numérique se décompose en 5 grandes phases :

Représentation graphique du processus classique d’une investigation numérique.

Également, il faut rappeler qu’en forensic (investigation numérique), on ne travaille jamais directement sur le système compromis. L’une des grandes étapes de toute investigation est donc la phase d’acquisition/collecte, qui consiste à collecter tout ce dont on aura besoin pour l’analyse qui sera réalisée "à froid", c'est à dire sans interaction directe avec le système étudié.

Ainsi, cet outil peut être utilisé aussi bien par des équipes d’investigation numérique, de réponse à incident, ou même en premier lieu par les administrateurs systèmes eux-mêmes qui suspectent une compromission de leur serveur.

L’intérêt fondamental de cet outil est la possibilité d’avoir rapidement une col...
[Courte citation de 8% de l'article original]