21 avril 2025

Krusell France

Ta dose d'actu digital !

Détecter une attaque ASREPRoast 2024-05-29, utilisateur ciblé “arthur.kyle”, adresse IP “172.17.79.129”.

4 mois ago Julien Castex
Hack the Box - Sherlocks : solution de Campfire-2
Rate this post

Présentation

Sommaire masquer
1 Présentation
2 Découverte de l’archive et des journaux
3 Investigation numérique : le cas Tracer
4 Notions abordées
5 Conclusion
6 Actualités similaires :

Dans cet article, nous aborderons une solution à un des challenges d’investigation numérique nommé Sherlocks proposée par Hack The Box. Nous explorerons le processus de résolution du Sherlocks Campfire-2, adapté aux débutants, portant sur une cyberattaque visant un système Windows et un domaine AD.

Découverte de l’archive et des journaux

Après avoir détecté l’utilisation d’un compte administrateur suspect lors de l’analyse Campfire-1, l’attaque ASREPRoast est envisagée et doit être examinée en profondeur pour obtenir plus d’informations. Cette attaque, qui exploite une vulnérabilité de pré-authentification Kerberos, est abordée dans un article dédié.

En analysant les journaux de sécurité de l’Active Directory contenus dans l’archive, nous pouvons mettre en œuvre une méthode d’envoi des logs vers un SIEM ELK pour bénéficier de ses capacités d’indexation et de recherche.

Investigation numérique : le cas Tracer

Détecter une attaque ASREPRoast

À travers diverses tâches, nous devons identifier l’attaque ASREPRoast, déterminer l’utilisateur ciblé, récupérer le SID du compte compromis et localiser l’adresse IP de l’asset compromis.

Recherche d’information sur le poste compromis

Par le biais des logs du contrôleur de domaine, nous pouvons confirmer l’utilisateur ayant effectué l’attaque ASREP Roasting, même sans artefacts provenant de la machine source, en traçant l’adresse IP associée aux événements.

Notions abordées

Cette investigation focalisée sur l’ASREPRoast nous offre un aperçu concret des attaques dans les logs d’un Active Directory. Pour approfondir vos connaissances sur ce sujet, nous vous recommandons notre article dédié. De plus, l’utilisation d’outils spécialisés tels que Zircolite ou ELK peut grandement faciliter cette démarche.

Conclusion

Ce challenge et sa résolution offrent une opportunité pratique de s’exercer à détecter une attaque ASREPRoast. Pour explorer davantage ces techniques offensives et défensives en cybersécurité, Hack The Box Academy propose des cours spécialisés à ne pas négliger.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Détecter l’attaque DCSync : journaux, SIEM, réseau.
  2. Comment détecter et se protéger de l’attaque DCSync en environnement Active Directory
  3. Configurer une adresse IP statique sur Ubuntu ou Debian avec Netplan
  4. Le ransomware TargetCompany cible les environnements VMware ESXi : tout savoir.
  5. Comment savoir si un courriel est fiable? Le guide complet pour vérifier l’adresse de l’expéditeur!
  6. Découvrez la nouvelle variante du ransomware Play qui cible les machines virtuelles VMware ESXi
Tags:

Plus d'actu

Sécurité Active Directory - Validation PAC Kerberos - Avril 2025

Comment anticiper les effets du Patch Tuesday d’avril 2025 sur le PAC de Kerberos

7 jours ago Julien Castex
Google Chrome 136 - Correction d'un vieux problème de sécurité

Google Chrome 136 : comment une nouvelle fonctionnalité protège votre historique de navigation

7 jours ago Julien Castex
Windows - ne supprimez pas le dossier inetpub par sécurité

Dossier “inetpub” sur Windows : ce que vous devez savoir

1 semaine ago Julien Castex

Vous avez peut-être manqué

Sécurité Active Directory - Validation PAC Kerberos - Avril 2025

Comment anticiper les effets du Patch Tuesday d’avril 2025 sur le PAC de Kerberos

7 jours ago Julien Castex
Marathon developer interview: Bungie shares more on its extraction FPS action

Bungie dévoile le gameplay captivant de Marathon un FPS de survie à ne pas manquer

7 jours ago Alex Lopez
Samsung’s Galaxy Xcover 7 and Tab Active 5 Pro Pack Snapdragon 7s Gen 3 and Military-Grade Toughness

Samsung dévoile le Galaxy Xcover 7 et le Galaxy Tab Active 5 Pro avec Snapdragon 7s Gen 3

7 jours ago Julien Castex
Assorted Apple products exempt from Trump administration reciprocal tariffs

Pas de tarifs supplémentaires pour les iPhones et autres produits Apple en provenance de Chine

7 jours ago Lea Corbini