21 novembre 2024

Krusell France

Ta dose d'actu digital !

Découvrez comment résoudre le challenge Sherlocks Tracer sur Hack The Box !

3 mois ago Julien Castex
Hack the Box - Sherlocks : découverte et solution de Tracer
Rate this post

Investigation numérique : résoudre le défi Sherlocks Tracer

Sommaire masquer
1 Investigation numérique : résoudre le défi Sherlocks Tracer
2 Découverte de l’archive et des journaux
3 Investigation numérique : le cas Tracer
4 Notions abordées
5 Actualités similaires :

Dans cet article, nous abordons la résolution d’un des challenges d’investigation numérique/forensic intitulé Sherlocks et proposé par Hack The Box. Nous allons nous concentrer sur la méthodologie pour résoudre le Sherlocks Tracer, destiné aux débutants. L’objectif est d’analyser les traces laissées par une cyberattaque visant un système d’exploitation Windows.

Découverte de l’archive et des journaux

En tant qu’analyste SOC, nous disposons de plusieurs traces à analyser, notamment des alertes indiquant l’utilisation de l’outil PsExec depuis le poste utilisateur ciblé. PsExec, un outil légitime de Microsoft, est souvent détourné par les attaquants pour des actions malveillantes. L’archive contient près de 400 fichiers répartis dans 8 dossiers, principalement des fichiers “.evtx” et “.pf”. Nous nous concentrerons sur les fichiers “.evtx”, qui sont des fichiers de logs.

Investigation numérique : le cas Tracer

La première étape consiste à détecter l’utilisation de PsExec en utilisant l’outil Zircolite. En analysant les logs Sysmon avec Zircolite, nous identifions que PsExec a été exécuté 9 fois. Nous recherchons ensuite le nom du fichier service déposé par PsExec, clé pour comprendre l’exécution distante de commandes.

Nous passons ensuite à la visualisation de la timeline de l’attaque avec Zircolite, en ciblant des événements spécifiques créés par PsExec. Nous recherchons également des détails tels que le nom du système utilisé par l’attaquant, le nom complet du fichier clé créé par PsExec lors de la 5ème exécution, ainsi que le nom du Named Pipe terminant par “stderr”.

Notions abordées

Ce processus d’investigation nous a permis de mettre en pratique des concepts importants de cybersécurité, en comprenant le fonctionnement de PsExec, l’utilisation de Zircolite et des règles Sigma, ainsi que le traitement de données JSON complexes avec JQ. Nous avons également souligné l’importance des journaux Sysmon dans une enquête numérique.

Au final, la résolution de ce challenge nous a permis de développer nos compétences en investigation numérique et en analyse de traces d’attaques.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Découvrez comment compromettre un domaine d’entreprise avec Hack The Box Resolute, étape par étape.
  2. Comment résoudre les problèmes de mise à jour Windows efficacement
  3. Comment résoudre le problème d’impression blanche sur imprimantes Canon PIXMA G2010/G3010 ?
  4. Propriétaire de la PS5? Découvrez comment résoudre un écran vert cassé en un clin d’œil
  5. Comment résoudre l’erreur PS5 de Diablo 4 sur PlayStation
  6. Comment résoudre l’erreur DRIVER_POWER_STATE_FAILURE de Windows
Tags:

Plus d'actu

Sécurité Linux - Ubuntu - Vulnérabilités dans needrestart depuis 10 ans

5 failles de sécurité critiques découvertes dans needrestart sur Ubuntu 21.04 : Comment vous protéger ?

6 heures ago Julien Castex
Active Directory - Réinitialisation du mot de passe en libre-service avec Specops uReset

Optimisez la réinitialisation de mot de passe pour vos utilisateurs – Guide complet

8 heures ago Julien Castex
AI Shell - Nouveau Shell de Microsoft

Découvrez AI Shell : le nouveau shell interactif d’interactions avec les IA sur Windows et macOS

10 heures ago Julien Castex

Vous avez peut-être manqué

Xiaomi's best mid-range smartphones will go global on December 9

Xiaomi annonce l’arrivée mondiale de sa série Redmi Note 14 de smartphones milieu de gamme

52 minutes ago Julien Castex
13 simple Google Gemini tips and tricks for maximum productivity

Des astuces pour exploiter pleinement Google Gemini et son IA multi-modale

53 minutes ago Mia Dufresne

Les nominés aux Game Awards 2024 révélés : Zelda, Final Fantasy, Dragon’s Dogma, et plus! Qui remportera les trophées?

1 heure ago Alex Lopez
TSMC ready to mass produce 2nm chips in 2025

TSMC surpasse Samsung : lancement des puces 2nm en 2025

2 heures ago Julien Castex