Découvrez comment retracer l’activité d’un utilisateur interne malveillant via les notifications de Windows!
Présentation
Nous abordons ici une solution pour résoudre le challenge “Sherlocks Jingle Bell” proposé par la plateforme Hack The Box. L’objectif est de retracer les activités d’un utilisateur interne malveillant à travers le système de notifications Windows.
Découverte de l’archive et du contexte
Une archive contenant des fichiers provenant du poste d’un utilisateur suspecté de malveillance est mise à disposition. Il est soupçonné d’avoir divulgué des informations sensibles via une application non identifiée.
Dans cette archive, on retrouve trois fichiers de base de données SQLite 3.x. Ces fichiers sont stockés dans le répertoire “C/Users/Appdata/Local/Microsoft/Windows/Notifications/”.
Analyse de la base de données SQLite3
La base de données principale, “wpndatabase.db”, contient 9 tables. En examinant le contenu de la table “Notification”, on découvre des données XML volumineuses, indiquant l’utilisation de la plateforme de communication Slack.
En analysant ces données, on peut identifier l’entreprise rivale, le nom d’utilisateur de la personne avec qui des informations ont été partagées, le canal de communication utilisé, le mot de passe pour le serveur d’archives, l’URL fournie pour le téléchargement des données volées, la date à laquelle le lien a été partagé et le montant d’argent reçu en échange des informations.
Conclusion
Cette investigation a permis de retracer efficacement les activités d’un utilisateur malveillant à travers les notifications Windows. Il est essentiel de prendre en compte la configuration de cette fonctionnalité pour limiter les risques de divulgation d’informations sensibles.
Source : www.it-connect.fr
