7 novembre 2024

Krusell France

Ta dose d'actu digital !

Découvrez comment déchiffrer un ransomware sur Linux !

4 mois ago Julien Castex
Hack the box - Résoudre le challenge Sherlocks Lockpick
Rate this post

Investigation numérique : solution du challenge Sherlocks Lockpick

Sommaire masquer
1 Présentation
2 Découverte de l’archive
3 Investigation numérique : le cas Lockpick
3.1 Retrouver l’accès aux données chiffrées
3.2 Retrouver les traces de l’attaquant
3.3 Intégrité des fichiers déchiffrés
4 Notions abordées
5 Conclusion
6 Actualités similaires :

Présentation

Dans cet article, nous aborderons une nouvelle solution pour résoudre le Sherlocks Lockpick, un des challenges d’investigation numérique proposés par Hack The Box. Nous détaillerons la démarche pour résoudre ce challenge de difficulté “Facile” afin de mieux comprendre le déroulement concret d’une cyberattaque, ainsi que les modes opératoires des attaquants et des analystes en cybersécurité.

Découverte de l’archive

Dans le cadre de l’investigation, nous disposons d’un contexte impliquant un ransomware ayant chiffré des serveurs Linux. L’archive fournie contient des fichiers avec des extensions inhabituelles (.24bes et .24bes_note.txt), ainsi qu’une seconde archive ZIP protégée par un mot de passe mentionné dans un fichier DANGER.txt.

Une analyse statique nous permet de constater que le dossier /forela-criticaldata/ est spécifiquement ciblé par le malware. En creusant davantage, nous réussissons à retrouver la clé de chiffrement utilisée par le cryptolocker, ainsi que des détails pertinents sur les activités du malware.

Investigation numérique : le cas Lockpick

Retrouver l’accès aux données chiffrées

Notre première tâche consiste à récupérer la clé de chiffrement utilisée par le cryptolocker. En analysant les chaînes de caractères du malware, nous identifions potentiellement la clé de chiffrement utilisée pour le chiffrement des fichiers. En re-chiffrant les fichiers, nous parvenons à retrouver leur version initiale et à extraire les informations demandées.

En poursuivant l’analyse des fichiers chiffrés, nous parvenons à identifier des données cruciales demandées dans le cadre de l’enquête. L’utilisation efficace d’outils tels que strace nous permet d’observer le comportement du malware et de retrouver les informations recherchées.

Retrouver les traces de l’attaquant

En examinant les fichiers déchiffrés, nous sommes en mesure de retrouver les informations relatives à l’attaquant, telles que l’adresse MAC d’un ordinateur ou l’adresse e-mail utilisée pour les demandes de rançon. Nous parvenons à répondre à plusieurs questions liées aux activités suspectes détectées.

Intégrité des fichiers déchiffrés

Pour confirmer l’intégrité des fichiers une fois déchiffrés, nous calculons les empreintes MD5 de certains fichiers critiques. Cette étape nous permet de garantir l’authenticité des données récupérées et de les comparer avec des sauvegardes pour déterminer le moment de leur chiffrement.

Notions abordées

Nous explorons les différents aspects de l’analyse d’un malware, de la collecte d’informations à la corrélation des données en passant par l’analyse statique et dynamique. Nous soulignons l’importance d’une sandbox sécurisée pour mener de telles investigations.

En termes de défense, nous évoquons l’utilisation d’outils comme l’EDR pour détecter et contrer les ransomwares. Du côté de l’attaquant, nous mettons en lumière les faiblesses et les vulnérabilités exposées par des choix de chiffrement peu robustes.

Conclusion

En concluant cette investigation, nous soulignons l’importance de tirer des enseignements de chaque expérience pour renforcer nos compétences en cybersécurité. N’hésitez pas à partager vos impressions et continuer votre apprentissage sur la plateforme Hack The Box Academy.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Comment fusionner des PDF sous Linux avec PDFtk ?
  2. Découvrez le ransomware ShrinkLocker et sa méthode de chiffrement avec BitLocker
  3. Découvrez la nouvelle variante du ransomware Play qui cible les machines virtuelles VMware ESXi
  4. Attention : faille critique dans le serveur Exim pour Linux, comment vous protéger ?
  5. Découvrez les 18 nouveaux outils de Kali Linux 2024.2
  6. Attention aux cybercriminels : Ransomware via Quick Assist Windows !
Tags:

Plus d'actu

Google Cloud - Le MFA va être obligatoire pour tous les utilisateurs

Google Cloud : MFA obligatoire pour tous les utilisateurs en 2024

6 heures ago Julien Castex
Cybersécurité - Interpol neutralise 22 000 adresses IP et 1 000 serveurs

Découvrez le succès de l’opération mondiale d’Interpol contre la cybercriminalité

9 heures ago Julien Castex
Pourquoi est-il si difficile de passer à une authentification sans mot de passe

Les avantages et défis de l’authentification sans mot de passe

11 heures ago Julien Castex

Vous avez peut-être manqué

All Galaxy S25 & Galaxy S26 models may use Snapdragon chips

Samsung prévoit de lancer le Galaxy S25 Slim avec une caméra ‘Ultra’

1 heure ago Julien Castex
No Man’s Sky PS5 Pro update, new cross-save support detailed

No Man’s Sky : Tous les détails sur la mise à jour révolutionnaire du PS5 Pro

1 heure ago Alex Lopez
iPhone 16 Pro Max vs. Pixel 9 Pro XL

iPhone 16 Pro Max vs Pixel 9 Pro XL : quel smartphone choisir en 2024 ?

2 heures ago Romain Barry
Pixel phones' battery charging limit feature reaching some users

Google déploie la limite de charge de batterie sur les téléphones Pixel

2 heures ago Julien Castex