28 novembre 2024

Krusell France

Ta dose d'actu digital !

Comment résoudre le challenge Sherlocks Campfire-1 sur Hack The Box : Guide complet

2 jours ago Julien Castex
Hack the Box - Sherlocks : solution de Campfire-1
Rate this post

Investigation numérique : résolution du challenge Sherlocks Campfire-1

Sommaire masquer
1 Investigation numérique : résolution du challenge Sherlocks Campfire-1
2 Découverte de l’archive et des journaux
3 Investigation numérique : le cas Campfire-1
4 Notions abordées
5 Conclusion
6 Actualités similaires :

Dans cet article, nous allons nous pencher sur la résolution du challenge Sherlocks Campfire-1 proposé par la plateforme Hack The Box. Il s’agit d’une investigation numérique visant à comprendre une cyberattaque ciblant un système d’exploitation Windows et un domaine AD. Nous détaillerons les étapes à suivre pour résoudre ce challenge en utilisant le langage KQL du SIEM ELK.

Découverte de l’archive et des journaux

Une archive contenant des journaux provenant du contrôleur de domaine et du poste utilisateur, au format “.evtx”, ainsi que les fichiers prefetch du système concerné est mise à notre disposition pour cette investigation numérique. Pour traiter ces fichiers efficacement, nous les importons dans une instance ELK en suivant une procédure spécifique. L’analyse nécessite une prise en compte de la timezone pour éviter tout problème de décalage dans les timestamps des logs.

Investigation numérique : le cas Campfire-1

Nous débutons notre enquête en analysant l’activité de Kerberoasting à partir des logs du contrôleur de domaine. En identifiant les événements 4769 correspondants à cette attaque, nous parvenons à déterminer la date, l’heure, le service ciblé et l’adresse IP du poste à l’origine de l’attaque.

En poursuivant notre analyse, nous examinons les logs PowerShell et les fichiers prefetch du poste utilisateur pour identifier le fichier utilisé pour énumérer les objets de l’Active Directory. Nous retrouvons également le chemin complet de l’outil Rubeus.exe utilisé pour lancer l’attaque de Kerberoasting. Les fichiers prefetch se révèlent être des éléments précieux pour retracer l’exécution des binaires sur un système Windows.

Notions abordées

Cette enquête nous a permis de mettre en pratique l’utilisation du SIEM ELK pour l’analyse des logs Windows, ainsi que l’importance des fichiers prefetch dans la traçabilité des exécutions de binaires. Nous avons également brièvement évoqué le framework ATT&CK du MITRE, un outil précieux pour la détection et la mitigation des attaques.

Conclusion

Ce challenge nous a donné l’opportunité de se familiariser avec l’utilisation d’ELK et de l’outil PECmd dans une situation d’investigation numérique. Confrontés à une cyberattaque réaliste, nous avons pu appliquer ces outils pour résoudre le cas Campfire-1. Il est essentiel de garder à l’esprit que dans des conditions réelles, l’investigation nécessite souvent de démarrer avec peu d’informations. Le partage d’avis et d’expériences est encouragé pour favoriser l’apprentissage et l’échange au sein de la communauté.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Découvrez comment résoudre le challenge Sherlocks Tracer sur Hack The Box !
  2. Hack The Box Timelapse : Guide complet pour dominer la box “Facile” !
  3. Résoudre les problèmes de macOS Sequoia : guide complet
  4. Comment craquer le mot de passe d’une archive ZIP ? Guide complet
  5. Comment sauvegarder son ordinateur: les meilleures méthodes – Guide complet
  6. Comment calculer le hash d’un fichier avec PowerShell : guide complet
Tags:

Plus d'actu

Bon plan UPDF - Black Friday 2024

Profitez d’une réduction jusqu’à -50% sur UPDF, l’éditeur PDF IA incontournable !

2 heures ago Julien Castex
Microsoft Exchange - La mise à jour de novembre 2024 est de retour

Mise à jour de sécurité pour Exchange Server de novembre 2024 : tout ce que vous devez savoir

4 heures ago Julien Castex
Les meilleurs films et séries de Noël à écouter en streaming pendant les fêtes

Les meilleurs films et séries de Noël à regarder en streaming.

13 heures ago Julien Castex

Vous avez peut-être manqué

Xiaomi unveils a high-end Redmi phone with Snapdragon 8 Elite SoC

Xiaomi dévoile le nouveau smartphone Redmi K80 Pro avec Snapdragon 8 Elite

16 minutes ago Julien Castex
Baldur's Gate 3

Baldur’s Gate 3 Patch 8 dévoile le cross-play et de nouvelles sous-classes captivantes

46 minutes ago Alex Lopez
Giving a new phone this holiday season? Don’t forget to add a case with Ostand from Torras

Les meilleures housses de téléphone Torras pour protéger votre iPhone 16 et plus

52 minutes ago Romain Barry
phone with Spotify playing music

Google Gemini intègre la prise en charge de Spotify

60 minutes ago Mia Dufresne