19 décembre 2024

Krusell France

Ta dose d'actu digital !

Démêler l’attaque LLMNR – Tutoriel complet pour résoudre l’enquête sur Sherlocks Noxious

6 jours ago Julien Castex
Investiguer sur un LLMNR poisoning et un SMB Relay avec Wireshark
Rate this post

Recherche d’informations sur une cyberattaque avec Hack The Box

Sommaire masquer
1 Recherche d’informations sur une cyberattaque avec Hack The Box
2 Découverte des éléments de l’archive et des journaux
3 Détecter une attaque LLMNR via le réseau
4 Confirmation de la capture du hash utilisateur
5 Identification de la typo à l’origine de la fuite des identifiants
6 Récupération de valeurs spécifiques dans les négociations NTLM
7 Recherche du partage de fichier visé par la victime
8 Conclusion
9 Actualités similaires :

Dans cet article, nous nous intéressons à une solution proposée par Hack The Box pour résoudre le challenge de Cyberattaque Sherlocks Noxious de niveau “débutant”. Nous avons pour objectif d’analyser les traces d’une attaque visant un système d’exploitation Windows et un domaine AD à l’aide des protocoles LLMNR et SMB2.

Technologies abordées : Réseau, LLMNR, SMB, NTLM
Outils utilisés : Wireshark

Découverte des éléments de l’archive et des journaux

Dans le cadre de notre investigation, nous disposons d’un contexte et d’une archive à analyser. Nous suspectons une attaque suite à une alerte concernant un trafic LLMNR anormal. Nous devons identifier l’adresse IP malveillante et en savoir davantage sur l’incident.

Enquête numérique : le cas Noxious

Détecter une attaque LLMNR via le réseau

Nous découvrons qu’une attaque LLMNR a été utilisée et utilisons un filtre Wireshark pour analyser les réponses LLMNR émises par l’attaquant. Nous identifions l’adresse IP et le nom d’hôte de la machine malveillante.

Confirmation de la capture du hash utilisateur

En analysant les échanges sur le protocole NTLMSSP, nous retrouvons des tentatives de récupération du hash de l’utilisateur. Nous identifions le nom d’utilisateur concerné et la date à laquelle les identifiants ont été capturés.

Identification de la typo à l’origine de la fuite des identifiants

Grâce à des requêtes LLMNR émises par la victime, nous identifions une erreur de saisie qui a conduit à la divulgation des identifiants. Nous démontrons l’importance de la saisie correcte des noms d’hôtes.

Récupération de valeurs spécifiques dans les négociations NTLM

Nous examinons les échanges NTLM et identifions le challenge et la signature cryptographique envoyés entre la victime et l’attaquant. Nous testons la complexité du mot de passe et démontrons la rapidité de son craquage.

Recherche du partage de fichier visé par la victime

En analysant les échanges SMB2, nous parvenons à identifier le serveur cible du partage de fichier visé par la victime lors de l’attaque.

Conclusion

Cette analyse approfondie nous a permis de comprendre les différents éléments d’une attaque LLMNR poisoning et SMB Relay, ainsi que le fonctionnement de l’authentification NTLMv2. Pour approfondir vos connaissances, nous vous invitons à consulter nos articles spécialisés et à explorer davantage les techniques d’attaque et de défense en cybersécurité.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Comment résoudre le challenge Sherlocks Campfire-1 sur Hack The Box : Guide complet
  2. Découvrez comment résoudre le challenge Sherlocks Tracer sur Hack The Box !
  3. Réparer son PC Windows 11 : tutoriel pour résoudre les problèmes de votre ordinateur
  4. Détection d’attaques LLMNR : le guide complet
  5. Résoudre les problèmes de macOS Sequoia : guide complet
  6. Tutoriel complet sur la caméra Reolink Argus 4 Pro.
Tags:

Plus d'actu

6 logiciels de montage vidéo pour Windows

Les meilleurs logiciels de montage vidéo pour Windows : notre sélection comparée

6 heures ago Julien Castex
compresser et décompresser un fichier tar.gz sous Linux

Tout savoir sur la manipulation des fichiers “tar.gz” sous Linux

8 heures ago Julien Castex
Apache Struts - Faille de sécurité critique - CVE-2024-53677

Découvrez comment se protéger de la faille critique CVE-2024-53677 sur Apache Struts

11 heures ago Julien Castex

Vous avez peut-être manqué

Charlotte Hornets apologize after a gift-giving skit with young fan went awry

Charlotte Hornets : un cadeau de Noël controversé et une promesse de réparation

1 heure ago Alex Lopez
Featured image for Apple reportedly seeking first batch of 2nm chips from TSMC

Apple et Tesla exemptés des tarifs chinois par Trump

2 heures ago Julien Castex
Smart home security integrations with Android

Optimizing Smart Home Security with Android – Everything You Need to Know

4 heures ago Julien Castex
PS5 Pro Technical Seminar reveals new in-depth details on console

Tout savoir sur la technologie révolutionnaire du PlayStation 5 Pro à découvrir

4 heures ago Alex Lopez