Nous respectons votre vie privée

Nous utilisons des cookies pour améliorer votre expérience de navigation, diffuser des publicités ou des contenus personnalisés et analyser notre trafic. En cliquant sur "Accepter ", vous consentez à notre utilisation des cookies.

Personnaliser les préférences en matière de consentement

Nous utilisons des cookies pour vous aider à naviguer efficacement et à exécuter certaines fonctions. Vous trouverez des informations détaillées sur tous les cookies sous chaque catégorie de consentement ci-dessous.

Les cookies qui sont catégorisés comme "Nécessaires" sont stockés sur votre navigateur car ils sont essentiels pour permettre les fonctionnalités de base du site.

Nous utilisons également des cookies tiers qui nous aident à analyser la façon dont vous utilisez ce site, à stocker vos préférences et à fournir le contenu et les publicités qui vous sont pertinents. Ces cookies ne seront stockés dans votre navigateur qu'avec votre consentement préalable.

Vous pouvez choisir d'activer ou de désactiver tout ou partie de ces cookies, mais la désactivation de certains d'entre eux peut affecter votre expérience de navigation.

Toujours actif

Necessary cookies are required to enable the basic features of this site, such as providing secure log-in or adjusting your consent preferences. These cookies do not store any personally identifiable data.

Functional cookies help perform certain functionalities like sharing the content of the website on social media platforms, collecting feedback, and other third-party features.

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics such as the number of visitors, bounce rate, traffic source, etc.

Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.

Advertisement cookies are used to provide visitors with customized advertisements based on the pages you visited previously and to analyze the effectiveness of the ad campaigns.

6 mai 2025

Krusell France

Ta dose d'actu digital !

Comment collecter des traces de compromission sur un système Linux

8 mois ago Julien Castex
tuto Linux CatScale - Collecter les traces de compromission d’un système Linux
Rate this post

I. Présentation

Sommaire masquer
1 Qu’est-ce que Linux CatScale ?
2 Collecter les traces de compromission avec Linux CatScale
3 Analyse des traces de compromission
4 Pour aller plus loin
5 Actualités similaires :

Dans cet article, nous allons faire un tour d’horizon de l’outil Linux CatScale, un script de collecte des traces de compromission pour système Linux fournis par WithSecureLabs. Nous verrons notamment en quoi consiste une collecte des traces dans le cadre d’une analyse forensic, quels sont les éléments récupérés par Linux CatScale sur un système et comment analyser et étudier ces éléments.

Qu’est-ce que Linux CatScale ?

Linux CatScale est avant tout un script bash, celui-ci vise à collecter au sein d’une archive tous les éléments qui pourront intéresser un analyste dans le cadre d’une investigation numérique, aussi connu sous l’acronyme DFIR (Digital Forensic Incident Response). Ces éléments sont par exemple :Les processus en cours d’exécution ; Les utilisateurs actuellement connectés ; la liste des fichiers modifiés récemment ; les journaux d’évènements ; les connexions actives ; etc. Toutes ces informations seront archivées dans un fichier au format “.tar.gz” qui pourra ensuite être copié sur le poste d’un analyste pour une étude approfondie de son contenu. Pour rappel, le processus d’investigation numérique se décompose en 5 grandes phases.

Collecter les traces de compromission avec Linux CatScale

À présent, nous allons voir comment réaliser une collecte grâce à Linux CatScale. Nous sommes ici, par exemple, dans la position d’un administrateur système qui suspecte une compromission de son serveur et souhaite réaliser au plus tôt une collecte d’information. Cela peut aussi être le cas d’une équipe de réponse à incident qui arrive dans un système d’information et qui réalise ses premiers prélèvements.

Les prérequis pour accéder à Linux CatScale sont :avoir un accès terminal ou SSH à la cible ; avoir les droits “root” sur le serveur concerné ; avoir le script de collecte à disposition.

Nous pouvons commencer par récupérer le contenu du dépôt Github sur notre poste d’analyse :

Analyse des traces de compromission

Maintenant que nous possédons cette archive, nous n’avons en principe plus besoin d’intervenir sur le système compromis, celle-ci devrait nous suffire pour nos recherches. Il est préconisé par l’éditeur du script de décompresser l’archive “.tar.gz” obtenue grâce au script fournit(“Extract-Cat-Scale.sh”). Il faut alors s’assurer que l’archive “.tar.gz” est dans le même répertoire que le script utilisé.

Nous allons à présent faire un tour d’horizon des différentes données qui sont collectées par Linux CatScale. Comme je l’ai rappelé, l’avantage est que toutes les archives collectées auront le même format.

Nous allons à présent faire un tour d’horizon des différentes données qui sont collectées par Linux CatScale. Comme je l’ai rappelé, l’avantage est que toutes les archives collectées auront le même format.

Pour aller plus loin

Dans le cas où vous menez une analyse sur plusieurs systèmes en simultanés, le script d’extraction peut gérer cela de la même façon qu’avec une seule archive. Il suffit de toutes les positionner dans le répertoire de Linux CatScale et d’exécuter le script d’extraction.

Avec toutes ces données à disposition, nous pouvons à présent utiliser des outils d’analyse et de recherche d’artefacts afin d’accélérer notre recherche. Je vais, par exemple, créer une règle Yara très simple qui va rechercher quelques chaines de caractères classiques des backdoors PHP du créateur Pentest Monkey.

WithSecure a également mis à disposition des patterns Grok afin de faciliter l’intégration des données collectées dans le SIEM ELK.

Dans cet article, nous avons fait le tour de la solution Linux CatScale proposée par WithSecure afin de réaliser une collecte de données sur un système Linux en vue de réaliser une investigation numérique.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Renforcez la sécurité de votre système Linux avec PAM et pam_pwquality
  2. Kaspersky Virus Removal Tool : l’outil gratuit indispensable pour sécuriser votre système Linux
  3. Découvrez comment déchiffrer un ransomware sur Linux !
  4. Comment fusionner des PDF sous Linux avec PDFtk ?
  5. Comment chiffrer une archive ZIP avec 7z sous Linux
  6. Comment configurer l’expiration des comptes locaux sur Linux
Tags:

Plus d'actu

android batterie optimsiation

Comment optimiser la batterie de son smartphone Android en 2025

2 semaines ago Alex Lopez
Sécurité Active Directory - Validation PAC Kerberos - Avril 2025

Comment anticiper les effets du Patch Tuesday d’avril 2025 sur le PAC de Kerberos

3 semaines ago Julien Castex
Google Chrome 136 - Correction d'un vieux problème de sécurité

Google Chrome 136 : comment une nouvelle fonctionnalité protège votre historique de navigation

3 semaines ago Julien Castex

Vous avez peut-être manqué

agent ia visuel

Agents AI : Révolution silencieuse du service client

2 semaines ago Alex Lopez
system update android

Protégez votre Android : 7 astuces choc à découvrir !

2 semaines ago Alex Lopez

Boostez votre autonomie Android : 5 astuces chocs à découvrir !

2 semaines ago Alex Lopez
android batterie optimsiation

Comment optimiser la batterie de son smartphone Android en 2025

2 semaines ago Alex Lopez