28 novembre 2024

Krusell France

Ta dose d'actu digital !

Comment résoudre le challenge Sherlocks Campfire-1 sur Hack The Box : Guide complet

2 jours ago Julien Castex
Hack the Box - Sherlocks : solution de Campfire-1
Rate this post

Investigation numérique : résolution du challenge Sherlocks Campfire-1

Sommaire masquer
1 Investigation numérique : résolution du challenge Sherlocks Campfire-1
2 Découverte de l’archive et des journaux
3 Investigation numérique : le cas Campfire-1
4 Notions abordées
5 Conclusion
6 Actualités similaires :

Dans cet article, nous allons nous pencher sur la résolution du challenge Sherlocks Campfire-1 proposé par la plateforme Hack The Box. Il s’agit d’une investigation numérique visant à comprendre une cyberattaque ciblant un système d’exploitation Windows et un domaine AD. Nous détaillerons les étapes à suivre pour résoudre ce challenge en utilisant le langage KQL du SIEM ELK.

Découverte de l’archive et des journaux

Une archive contenant des journaux provenant du contrôleur de domaine et du poste utilisateur, au format “.evtx”, ainsi que les fichiers prefetch du système concerné est mise à notre disposition pour cette investigation numérique. Pour traiter ces fichiers efficacement, nous les importons dans une instance ELK en suivant une procédure spécifique. L’analyse nécessite une prise en compte de la timezone pour éviter tout problème de décalage dans les timestamps des logs.

Investigation numérique : le cas Campfire-1

Nous débutons notre enquête en analysant l’activité de Kerberoasting à partir des logs du contrôleur de domaine. En identifiant les événements 4769 correspondants à cette attaque, nous parvenons à déterminer la date, l’heure, le service ciblé et l’adresse IP du poste à l’origine de l’attaque.

En poursuivant notre analyse, nous examinons les logs PowerShell et les fichiers prefetch du poste utilisateur pour identifier le fichier utilisé pour énumérer les objets de l’Active Directory. Nous retrouvons également le chemin complet de l’outil Rubeus.exe utilisé pour lancer l’attaque de Kerberoasting. Les fichiers prefetch se révèlent être des éléments précieux pour retracer l’exécution des binaires sur un système Windows.

Notions abordées

Cette enquête nous a permis de mettre en pratique l’utilisation du SIEM ELK pour l’analyse des logs Windows, ainsi que l’importance des fichiers prefetch dans la traçabilité des exécutions de binaires. Nous avons également brièvement évoqué le framework ATT&CK du MITRE, un outil précieux pour la détection et la mitigation des attaques.

Conclusion

Ce challenge nous a donné l’opportunité de se familiariser avec l’utilisation d’ELK et de l’outil PECmd dans une situation d’investigation numérique. Confrontés à une cyberattaque réaliste, nous avons pu appliquer ces outils pour résoudre le cas Campfire-1. Il est essentiel de garder à l’esprit que dans des conditions réelles, l’investigation nécessite souvent de démarrer avec peu d’informations. Le partage d’avis et d’expériences est encouragé pour favoriser l’apprentissage et l’échange au sein de la communauté.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Découvrez comment résoudre le challenge Sherlocks Tracer sur Hack The Box !
  2. Hack The Box Timelapse : Guide complet pour dominer la box “Facile” !
  3. Résoudre les problèmes de macOS Sequoia : guide complet
  4. Comment craquer le mot de passe d’une archive ZIP ? Guide complet
  5. Comment sauvegarder son ordinateur: les meilleures méthodes – Guide complet
  6. Comment calculer le hash d’un fichier avec PowerShell : guide complet
Tags:

Plus d'actu

Microsoft Exchange - La mise à jour de novembre 2024 est de retour

Mise à jour de sécurité pour Exchange Server de novembre 2024 : tout ce que vous devez savoir

2 heures ago Julien Castex
Les meilleurs films et séries de Noël à écouter en streaming pendant les fêtes

Les meilleurs films et séries de Noël à regarder en streaming.

11 heures ago Julien Castex
Magasinez votre assurance vie et économisez avec cet outil en ligne

Magasinez votre assurance vie en ligne avec Clic Assure, économisez!

13 heures ago Julien Castex

Vous avez peut-être manqué

China debuts ‘Global Scheduling Ethernet’ chip to deliver networking solutions for AI — aims to compete with the Ultra Ethernet Consortium for next-generation interconnection technologies

Des puces Chinoises lancent le “Global Scheduling Ethernet” pour l’IA et les charges de travail intensives.

35 minutes ago Romain Barry
iQOO 13 review - GSMArena.com tests

Découvrez le vivo iQOO 13 : le meilleur rapport qualité-prix du marché !

1 heure ago Romain Barry
Intel Arc B580 Limited Edition GPU listed for $250 at US retailer — Battlemage prepares to rock the GPU market

Intel prêt à révéler sa nouvelle carte graphique desktop Arc B580 pour 250$.

2 heures ago Romain Barry
Microsoft Exchange - La mise à jour de novembre 2024 est de retour

Mise à jour de sécurité pour Exchange Server de novembre 2024 : tout ce que vous devez savoir

2 heures ago Julien Castex