21 novembre 2024

Krusell France

Ta dose d'actu digital !

Découvrez comment déchiffrer un ransomware sur Linux !

Hack the box - Résoudre le challenge Sherlocks Lockpick
Rate this post

Investigation numérique : solution du challenge Sherlocks Lockpick

Présentation

Dans cet article, nous aborderons une nouvelle solution pour résoudre le Sherlocks Lockpick, un des challenges d’investigation numérique proposés par Hack The Box. Nous détaillerons la démarche pour résoudre ce challenge de difficulté “Facile” afin de mieux comprendre le déroulement concret d’une cyberattaque, ainsi que les modes opératoires des attaquants et des analystes en cybersécurité.

Découverte de l’archive

Dans le cadre de l’investigation, nous disposons d’un contexte impliquant un ransomware ayant chiffré des serveurs Linux. L’archive fournie contient des fichiers avec des extensions inhabituelles (.24bes et .24bes_note.txt), ainsi qu’une seconde archive ZIP protégée par un mot de passe mentionné dans un fichier DANGER.txt.

Une analyse statique nous permet de constater que le dossier /forela-criticaldata/ est spécifiquement ciblé par le malware. En creusant davantage, nous réussissons à retrouver la clé de chiffrement utilisée par le cryptolocker, ainsi que des détails pertinents sur les activités du malware.

Investigation numérique : le cas Lockpick

Retrouver l’accès aux données chiffrées

Notre première tâche consiste à récupérer la clé de chiffrement utilisée par le cryptolocker. En analysant les chaînes de caractères du malware, nous identifions potentiellement la clé de chiffrement utilisée pour le chiffrement des fichiers. En re-chiffrant les fichiers, nous parvenons à retrouver leur version initiale et à extraire les informations demandées.

En poursuivant l’analyse des fichiers chiffrés, nous parvenons à identifier des données cruciales demandées dans le cadre de l’enquête. L’utilisation efficace d’outils tels que strace nous permet d’observer le comportement du malware et de retrouver les informations recherchées.

Retrouver les traces de l’attaquant

En examinant les fichiers déchiffrés, nous sommes en mesure de retrouver les informations relatives à l’attaquant, telles que l’adresse MAC d’un ordinateur ou l’adresse e-mail utilisée pour les demandes de rançon. Nous parvenons à répondre à plusieurs questions liées aux activités suspectes détectées.

Intégrité des fichiers déchiffrés

Pour confirmer l’intégrité des fichiers une fois déchiffrés, nous calculons les empreintes MD5 de certains fichiers critiques. Cette étape nous permet de garantir l’authenticité des données récupérées et de les comparer avec des sauvegardes pour déterminer le moment de leur chiffrement.

Notions abordées

Nous explorons les différents aspects de l’analyse d’un malware, de la collecte d’informations à la corrélation des données en passant par l’analyse statique et dynamique. Nous soulignons l’importance d’une sandbox sécurisée pour mener de telles investigations.

En termes de défense, nous évoquons l’utilisation d’outils comme l’EDR pour détecter et contrer les ransomwares. Du côté de l’attaquant, nous mettons en lumière les faiblesses et les vulnérabilités exposées par des choix de chiffrement peu robustes.

Conclusion

En concluant cette investigation, nous soulignons l’importance de tirer des enseignements de chaque expérience pour renforcer nos compétences en cybersécurité. N’hésitez pas à partager vos impressions et continuer votre apprentissage sur la plateforme Hack The Box Academy.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications