Investiguer sur un LLMNR poisoning et un SMB Relay avec Wireshark

Mickael Dorigny - ITConnect - 13/12
Nous allons investiguer sur une cyberattaque exploitant les protocoles LLMNR et SMB2 au sein d'un domaine Active Directory en utilisant Wireshark.

Sommaire

  • I. Présentation
  • II. Découverte de l'archive et des journaux
  • III. Investigation numérique : le cas Noxious
    • A. Détecter une attaque LLMNR via le réseau
  • IV. Conclusion

I. Présentation

On se retrouve dans cet article pour une nouvelle solution de l'un des challenges d'investigation numérique/forensic nommés Sherlocks et mis à disposition par la plateforme Hack The Box. Dans cet article, nous allons détailler la démarche qui permet de résoudre le Sherlocks Noxious, de difficulté "débutant". Il s'agit d'investiguer sur les traces d'une cyberattaque ciblant un système d'exploitation Windows et un domaine AD via les protocoles LLMNR et SMB2.

Cet article sera notamment l'occasion de comprendre comment peut se dérouler concrètement une cyberattaque, et quels sont les modes opératoires des attaquants et des analystes en cybersécurité. Je vais ici vous détailler la marche à suivre en utilisant l'analyseur de paquet bien connu Wireshark, cela vous permettra de voir son utilisation dans un contexte réaliste.

Lien du challenge : Hack The Box - Sherlocks - Noxious

Cette solution est publiée en accord avec les règles d'HackThebox et ne sera diffusée que lorsque le Sherlocks en question sera indiqué comme "Retired".

Technologies abordéesRéseau, LLMNR, SMB, NTLM
Outils utilisésWireshark

Retrouvez tous nos articles Hack The Box via ce lien :

  • IT-Connect - Articles Hack The Box

II. Découverte de l'archive et des journaux

Dans le cadre de l'investigation, un contexte et une archive sont mis à notre disposition :

Notre équipe informatique suspecte une cyberattaque à la suite d'une alerte concernant un trafic LLMNR anormal émise par notre IDS. L'adresse IP de la cible du trafic nous est fourni et nous devons en apprendre plus sur cette alerte.

Voici le contenu de l'archive à récupérer dans le cadre de l'analyse :

Contenu de l'archive fournie.

Nous commençons par ouvrir ce fichier ".pcap" (enregistrement réseau) à l'aide de Wireshark. La première chose à faire lorsque l'on a manifeste...
[Courte citation de 8% de l'article original]

Loading...