Hack the Box - Sherlocks : solution de Campfire-1

Mickael Dorigny - ITConnect - 26/11

Vous avez besoin d’aide pour le challenge Sherlocks Campfire-1 du site Hack the Box ? Voici nos explications détaillées et une solution dans ce writeup Campfire-1.

Sommaire

I. Présentation
II. Découverte de l'archive et des journaux
III. Investigation numérique : le cas Campfire-1
- A. Kerberoasting
- B. Analyse de l'activité du poste utilisateur
IV. Notions abordées
V. Conclusion

I. Présentation

On se retrouve dans cet article pour une nouvelle solution de l'un des challenges d'investigation numérique/forensic nommés Sherlocks et mis à disposition par la plateforme Hack The Box. Dans cet article, nous allons détailler la démarche qui permet de résoudre le Sherlocks Campfire-1, de difficulté "débutant". Il s'agit d'investiguer sur les traces d'une cyberattaque ciblant un système d'exploitation Windows et un domaine AD.

Cet article sera notamment l'occasion de comprendre comment peut se dérouler concrètement une cyberattaque, et quels sont les modes opératoires des attaquants et des analystes en cybersécurité. Je vais ici vous détailler la marche à suivre en utilisant le langage KQL du SIEM ELK (ElasticSearch, Logstash, Kibana), cela vous permettra de voir son utilisation dans un contexte réaliste.

Lien du challenge : Hack The Box - Sherlocks - Campfire-1

Cette solution est publiée en accord avec les règles d'HackThebox et ne sera diffusée que lorsque le Sherlocks en question sera indiqué comme "Retired".

Technologies abordées	Windows, EVTX, prefetch, Kerberos, Rubeus
Outils utilisés	ELK, KQL, PECmd

Retrouvez tous nos articles Hack The Box via ce lien :

IT-Connect - Articles Hack The Box

II. Découverte de l'archive et des journaux

Dans le cadre de l'investigation, un contexte et une archive sont mis à notre disposition :

Nous sommes donc en charge de la réalisation d'une investigation numérique suite à la découverte par un utilisateur de fichiers étranges sur son poste. L'archive fournit contient q...
[Courte citation de 8% de l'article original]

Tags : active directory - cybersécurité - hack the box -

Source et Copyright images et textes : Mickael Dorigny - ITConnect
Lien original, consulter l'article dans son intégralité ici : https://www.it-connect.fr/hack-the-box-sherlocks-campfire-1-investiguer-attaque-kerberoasting-via-elk/
Lien direct sur notre site : http://www.newsexplorer.fr/article/22832333/Hack-the-Box---Sherlocks---solution-de-Campfire-1
Partager : Facebook - Twitter

Avis de non-responsabilité pour les articles et les traductions :
Les articles publiés sur ce site ont été rédigés par des auteurs externes et ne représentent pas l'avis ou les opinions de ce site. Les informations contenues dans ces articles sont fournies à titre indicatif et ne doivent pas être considérées comme des conseils professionnels ou juridiques.
De plus, les traductions proposées sur ce site peuvent ne pas être exactes ou complètes. Nous ne pouvons garantir l'exactitude, la fiabilité ou la pertinence de ces traductions et nous déclinons toute responsabilité pour toute perte ou préjudice causé par leur utilisation.
Nous recommandons à nos lecteurs de vérifier toutes les informations avant de prendre des décisions ou d'entreprendre des actions en se basant sur ces articles ou traductions. Nous ne serons pas tenus responsables des erreurs ou des omissions dans les informations fournies sur ce site.