Découvrez comment résoudre le challenge Sherlocks Tracer sur Hack The Box !
Investigation numérique : résoudre le défi Sherlocks Tracer
Dans cet article, nous abordons la résolution d’un des challenges d’investigation numérique/forensic intitulé Sherlocks et proposé par Hack The Box. Nous allons nous concentrer sur la méthodologie pour résoudre le Sherlocks Tracer, destiné aux débutants. L’objectif est d’analyser les traces laissées par une cyberattaque visant un système d’exploitation Windows.
Découverte de l’archive et des journaux
En tant qu’analyste SOC, nous disposons de plusieurs traces à analyser, notamment des alertes indiquant l’utilisation de l’outil PsExec depuis le poste utilisateur ciblé. PsExec, un outil légitime de Microsoft, est souvent détourné par les attaquants pour des actions malveillantes. L’archive contient près de 400 fichiers répartis dans 8 dossiers, principalement des fichiers “.evtx” et “.pf”. Nous nous concentrerons sur les fichiers “.evtx”, qui sont des fichiers de logs.
Investigation numérique : le cas Tracer
La première étape consiste à détecter l’utilisation de PsExec en utilisant l’outil Zircolite. En analysant les logs Sysmon avec Zircolite, nous identifions que PsExec a été exécuté 9 fois. Nous recherchons ensuite le nom du fichier service déposé par PsExec, clé pour comprendre l’exécution distante de commandes.
Nous passons ensuite à la visualisation de la timeline de l’attaque avec Zircolite, en ciblant des événements spécifiques créés par PsExec. Nous recherchons également des détails tels que le nom du système utilisé par l’attaquant, le nom complet du fichier clé créé par PsExec lors de la 5ème exécution, ainsi que le nom du Named Pipe terminant par “stderr”.
Notions abordées
Ce processus d’investigation nous a permis de mettre en pratique des concepts importants de cybersécurité, en comprenant le fonctionnement de PsExec, l’utilisation de Zircolite et des règles Sigma, ainsi que le traitement de données JSON complexes avec JQ. Nous avons également souligné l’importance des journaux Sysmon dans une enquête numérique.
Au final, la résolution de ce challenge nous a permis de développer nos compétences en investigation numérique et en analyse de traces d’attaques.
Source : www.it-connect.fr