Forensic CCSecu 6~10/06/16
Etude d'un système de fichier Souvent complémentaire à l'analyse d'un dump mémoire dans le cas d'une attaque Analyse et prospection complète de l'impact qu'à pu avoir une attaque sur l'intégrité d'un système Analyse à posteriori de la configuration des applicatifs pour identifier les faiblesses
Les outils Builtins Linux (sed / strings / grep / awk …) Journaux d'event (/var/log sur Linux | Event manager sur Windows) Framework (Volatility / Foremost / Recon-ng / The Sleuth Kit) Programmes (Testdisk / TheHarvester / Maltego…) Systèmes (HoneyPots) Sandbox (Cuckoo / Shade)
Test Disk Programmage de récupération de partitions / file system endomagés ou perdus Permet également de récupérer des fichiers effacés ou l'intégralité d'un système Permet de réparer une séquence de boot et / ou les secteurs d'amorçage d'une partition Fonctionne avec une interface en cli Pour récupérer des fichiers effacés : photorec
The Sleuth Kit Framework d'analyse forensic de filesystem Fournit avec une interface web « Autopsy » permettant d'automatiser les actions des plugins du framework, de travailler à plusieurs sur le même projet et de créer des rapports Quelques plugins utiles : fls icat mactime mmls
Séance du jour Analyse d'un système de fichier provenant d'une machine compromise Repo : https://ccsecu.ech0t3am.net Outils : Test Disk ou TSK Site : https://cve.mitre.org Site : https://www.cvedetails.com/
Séance du jour Etapes : Identifier le type de système sur lequel on travail Rechercher des informations sur la machine et son OS Déterminer les applicatifs présents et ceux pouvant être vulnérables (et éventuellement les vulnérabilités) Analyser les logs et lier les éléments trouvées aux informations précédentes Reconstruire la démarche de compromission Proposer des solutions
Ressource