Hack the Box - Sherlocks : découverte et solution de Unit42

Mickael Dorigny - ITConnect - 15/11

Nous résolvons dans cet article une investigation numérique à l'aide de Zircolite et en nous basant sur l'exercice Unit42 proposé par Hack The Box (Sherlocks).

Sommaire

I. Présentation
II. Découverte de l'archive et des journaux
III. Investigation numérique : le cas Unit42
- A. Repérer un eventID dans les logs
- B. Identifier un processus malveillant
- C. Lister les connexions réseau et requêtes DNS avec Sysmon
- D. Identifier un changement de date de création d'un fichier
- E. Travailler avec l'eventID 11 : Création d'un fichier
- F. Lister les requêtes DNS avec les logs Sysmon
- G. Lister les connexions réseau dans les logs Sysmon
- H. Repérer les fins de processus dans les journaux
IV. Pour aller plus loin : la timeline Zircolite
V. Rappel des notions abordées

I. Présentation

Dans cet article, nous allons résoudre l'un des challenges d'investigation numérique/forensic nommés Sherlocks et mis à disposition par la plateforme Hack The Box. Le Sherlocks Unit42 est un challenge très simple fait pour les débutants en cybersécurité et qui vise à démystifier le forensic au travers un cas d'usage assez simple, mais tout de même réaliste.

Cet article sera notamment l'occasion de comprendre comment peut se dérouler concrètement une cyberattaque et une investigation numérique, et quels sont les modes opératoires des attaquants et analystes en cybersécurité. Nous allons plus précisément étudier des journaux d'évènement Windows (.evtx) contenant les traces d'une cyberattaque.

Cet article et le challenge Sherlocks associé sont avant tout de très bons moyens de mettre en pratique ce que nous avons appris dans les articles suivants :

Zircolite : investigation numérique sur les journaux d'évènements Windows
Windows : utilisation de Sysmon pour tracer les activités malveillantes

Plusieurs méthodes existent pour arriver à bout de cet exercice, j'ai notamment choisi ici d'utiliser un système Linux, aidé par "Zircolite" et "jq" pour le résoudre. Je vous recommande de tenter l'exercice avant de lire la solution 🙂 .

Lien du challenge : Hack The Box - Sherlocks - Unit42

Cette solution est publiée en accord avec les règles d'HackThebox et ne sera diffusée que lorsque le Sherlocks en question sera indiqué comme "Retired".

Technologies abordées	Windows, EVTX, Sysmon
Outils utilisés	Zircolite, jq, Yara

Retrouvez tous nos articles Hack The Box via ce lien :

IT-Connect - Articles Hack The Box

II. Découverte de l'archive et des journaux

Dans le cadre de l'investigation, un contexte et une archive sont mis à disposition :

Scénario du Sherlocks Unit42.

Nous obtenons ici des premières informations concernant la cyberattaque sur laquelle nous devons mener notre investigation. Il s'agit d'une campa...
[Courte citation de 8% de l'article original]

Tags : cybersécurité - forensic - hack the box -

Source et Copyright images et textes : Mickael Dorigny - ITConnect
Lien original, consulter l'article dans son intégralité ici : https://www.it-connect.fr/hack-the-box-sherlocks-unit42-solution/
Lien direct sur notre site : http://www.newsexplorer.fr/article/22512095/Hack-the-Box---Sherlocks---d%C3%A9couverte-et-solution-de-Unit42
Partager : Facebook - Twitter

Avis de non-responsabilité pour les articles et les traductions :
Les articles publiés sur ce site ont été rédigés par des auteurs externes et ne représentent pas l'avis ou les opinions de ce site. Les informations contenues dans ces articles sont fournies à titre indicatif et ne doivent pas être considérées comme des conseils professionnels ou juridiques.
De plus, les traductions proposées sur ce site peuvent ne pas être exactes ou complètes. Nous ne pouvons garantir l'exactitude, la fiabilité ou la pertinence de ces traductions et nous déclinons toute responsabilité pour toute perte ou préjudice causé par leur utilisation.
Nous recommandons à nos lecteurs de vérifier toutes les informations avant de prendre des décisions ou d'entreprendre des actions en se basant sur ces articles ou traductions. Nous ne serons pas tenus responsables des erreurs ou des omissions dans les informations fournies sur ce site.