SecurityBlueTeam – introduction à la criminalistique numérique
Ce mois-ci j’ai suivi plusieurs cours sur ce thème, dont celui du site https://securityblue.team.
Ce cours a un avantage, il finit sur un TP pour valider les acquis et pour 20£ je vous le recommande !
Petit point sur ce TP avant de voir sa résolution.
Ça veut dire que si ce cours vous intéresse, ne lisez pas la suite…
Contexte
- Un utilisateur exfiltre potentiellement des données de l’Entreprise.
- Une image du disque est faite et servira pour l’analyse afin de trouver des preuves d’activités malveillantes.
- Chaque preuve contient la suite de caractères {x/4}. Ce numéro servira pour répondre aux questions
- SI un mot de passe doit être forcé, il sera dans le dictionnaire rockyou.txt
- On nous recommande de commencer par le dossier des Emails
Preuve 1/4
Pour commencer, je récupère l’archive ZIP et génère son empreinte md5 qui servira pour le rapport.
Puisqu’il s’agit d’un fichier ZIP, je le décompresse.
Voyons maintenant le contenu de l’archive :
Comme proposé, je commence par le dossier des Emails.
A priori rien de particulier, on va confirmer le type de fichier à l’aide de la commande file :
Il semblerait que le fichier JPG soit en réalité une PNG, je modifie donc l’extension et tente de l’ouvrir :
Bien sûr ça serait trop simple… Regardons du côté du mail alors…
On peut tout de même voir une différence entre le contenu du mail et la PJ. On va creuser sur la PJ…
À l’aide de la commande strings, je vérifie s’il n’y a pas du contenu caché dans le fichier JPG et bingo !
On a donc confirmation que le Monsieur est louche…
Mon premier réflexe a été de vérifier le fichier JPG du mail avec Steghide, sans succès. Mais, plus tôt quand nous avons listé le contenu du disque ; nous avons vu un dossier « Images » allons voir dedans.
Maintenant, passons tous les fichiers JPG avec steghide et le mot de passe obtenu précédemment.
On finit par obtenir ceci :
Voyons ce que contient ce fichier.
On a la première preuve !
Preuve 2
Maintenant qu’on sait que toutes ces images sont potentiellement utilisées pour passer des messages, voyons ça plus en détail.
Le fichier mp3 est enfaîte une image, changeons l’extension et voyons le contenu.
Encore un piège…
Tant pis, passons à un autre dossier.
Cette fois, ça sera « Weekly Meeting Notes ».
Direction « Week 9 ». Un seul fichier texte.
Chou blanc …
Direction « Week 10 » alors.
Là on tient quelque chose, le fichier xlm est enfaîte une image.
Changeons son extension et voyons le contenu des deux fichiers.
Et de deux ! 50% du travail accompli !
Preuve 3
Direction le dossier « WebDev work »
Pareil que précédemment, on vérifie les fichiers textes, mais sans succès…
Je vais donc dans le dossier « unfinished webpages »
Direction le dossier « to-do ».
Un fichier caché au format zip.
Je tente de l’extraire via unzip mais un mot de passe est demandé …
On se rappel, au début on nous signal que si brute-force il faut, le mot de passe sera dans rockyou.txt !
On copie le fichier rockyou dans le même dossier et on tente cette fois l’attaque avec le dictionnaire « rockyou.txt »
On a maintenant 3 des 4 preuves !
Preuve 4
Là ça se gâte.
Pour être honnête, j’ai fini l’examen à ce niveau-là. Après 2 h à tout refaire je n’ai pas trouvé la dernière preuve.
Mais, comme je n’aime pas perdre si proche du but pour un premier examen, j’ai retenté le lendemain et je me suis rappelé d’une chose. Il a scanné le serveur Drupal pour voir les versions !
Il veut donc sûrement empoissonné le serveur via le template !
Ni une ni deux je retourne au niveau du dossier template.
Contrôle des images … RAS.
Contrôle des fonts … RAS.
Le fichier index.html semble propre …
Je décide de contrôler les fichiers dans le dossier « css » car c’est là où je comprendrai le mieux ce qui est présent.
Tous les fichiers sont bien ce qu’ils disent être… mais je repère un fichier bootstrap.min avec une extension inconnue « .abc » et le même avec l’extension css.
Regardons le début du fichier
Et BINGO ! 4 preuves sur 4 !
Pour la forme, j’avais commencé sur un bloc-notes un mini rapport avec les empreintes md5, preuves, et analyse.
