SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT. SECURIDAY 2012 Pro Edition [Investigation :Digital Forensics]



Documents pareils
SECURIDAY 2013 Cyber War

Acquisition des données

SECURIDAY 2012 Pro Edition

Dans le cadre de SECURIDAY Et sous le thème de Computer Forensics Investigation SECURINETS. Analyse des fichiers LOG. Tarek LABIDI (RT3)

Formation en Sécurité Informatique

CAHIER DES CHARGES D IMPLANTATION

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

Table des matières. Avant-propos... Préface... XIII. Remerciements...

Can we trust smartphones?

Sécurisation de Windows NT 4.0. et Windows 2000

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

SECURIDAY 2012 Pro Edition

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères

Etude d Exchange, Google Apps, Office 365 et Zimbra

Faille dans Internet Explorer 7

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

SRS Day. Attaque BitLocker par analyse de dump mémoire

Menaces du Cyber Espace

IBM Tivoli Compliance Insight Manager

UltraBackup NetStation 4. Guide de démarrage rapide

et Groupe Eyrolles, 2006, ISBN :

Computer Emergency Response Team. Industrie Services Tertiaire. David TRESGOTS. 13 juin 2012 Forum Cert-IST Industrie Services Tertiaire

FreeNAS Shere. Par THOREZ Nicolas

Certificate of Advanced Studies en investigation numérique [CAS IN] 6 formations de haut niveau pour les spécialistes de l investigation numérique

Installation de Windows 2003 Serveur

Nicolas Hanteville. for(e=n;s<i;c++){attitude();} Sur environnement Microsoft Windows

SIMPLE CRM ET LA SÉCURITÉ

CA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Informations sur l utilisation du webmail du CNRS. Webmail du CNRS. Manuel Utilisateur

Archivage numérique de documents SAP grâce à DocuWare

Comment utiliser mon compte alumni?

Netissime. [Sous-titre du document] Charles

Table des matières 1. Avant-propos. Chapitre 1 Virtualisation du poste de travail

Cloud public d Ikoula Documentation de prise en main 2.0

VRM Monitor. Aide en ligne

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Microsoft Windows NT Server

Installation de Windows 2000 Serveur

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi

AVANT-PROPOS INTRODUCTION INSTALLATION INSTALLER LE PLUGIN ZOTERO INSTALLER LE MODULE DE CITATION...

CONDITIONS D UTILISATION VERSION NOMADE

Créer et partager des fichiers

Cyberclasse L'interface web pas à pas

Retour d expérience sur Prelude

KASPERSKY SECURITY FOR BUSINESS

Lutter contre les virus et les attaques... 15

Le serveur de communication IceWarp. Guide SyncML. Version 10. Juillet IceWarp France / DARNIS Informatique

Bac Professionnel Systèmes Electroniques Numériques

Pour bien commencer avec le Cloud

Atelier Le gestionnaire de fichier

Mise en route et support Envision 10 SQL server (Avril 2015) A l'intention de l'administrateur SQL Server et de l administrateur Envision

PRODIGE V3. Manuel utilisateurs. Consultation des métadonnées

Documentation utilisateur, manuel utilisateur MagicSafe Linux. Vous pouvez télécharger la dernière version de ce document à l adresse suivante :

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2).

Utilisation du logiciel Epson Easy Interactive Tools

Outils de développement collaboratif

PRODIGE V3. Manuel utilisateurs. Consultation des métadonnées

G. Méthodes de déploiement alternatives

JaZUp manuel de l'utilisateur v2.4

Les meilleurs logiciels de récupération de

Comment bien nettoyer Windows

Prise en main. Norton Ghost Pour trouver des informations supplémentaires. A propos de Norton Ghost

Exchange Server 2010 Exploitation d'une plateforme de messagerie

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

1. Introduction Sauvegardes Hyper-V avec BackupAssist Avantages Fonctionnalités Technologie granulaire...

Sécurité Informatique : Metasploit

GUIDE DE L UTILISATEUR Recoveo Récupérateur de données

CA ARCserve Backup r12

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Manuel utilisateur (Manuel_utilisateur_version pdf) Manuel Reprise des données (Manuel_Reprise_donnees_version

Préparer la synchronisation d'annuaires

Gestion collaborative de documents

GEDEXPERT. La Gestion Electronique de Documents des PME PMI. VOTRE NOUVEL ASSISTANT pour. Pour partager l information au sein de l entreprise

MO-Call pour les Ordinateurs. Guide de l utilisateur

Tune Sweeper Manuel de l'utilisateur

Extraction de données authentifiantes de la mémoire Windows

Systems Manager Gestion de périphériques mobiles par le Cloud

Installation / Sauvegarde Restauration / Mise à jour

Guide d'installation du token

Clients XProtect Accédez à votre vidéosurveillance

LES FONCTIONS DE SURVEILLANCE DES FICHIERS

wiki.ipfire.org The official documentation for IPFire - An Open Source Firewall Solution Outils

TP 1 : prise en main de Windows. TP 1 : prise en main de Windows

Principaux utilisateurs du Réseau

BACCALAURÉAT PROFESSIONNEL M R I M : MICRO INFORMATIQUE ET RESEAUX : INSTALLATION ET MAINTENANCE

M1 IFPRU Cahier des Charges du projet de TER. Vidéo Surveillance sur IP Le système Rapace. Membres du groupe : Encadrés par :

Commandes Linux. Gestion des fichiers et des répertoires. Gestion des droits. Gestion des imprimantes. Formation Use-IT

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

STATISTICA Version 12 : Instructions d'installation

Les menaces informatiques

Le Ro le Hyper V Troisie me Partie Haute disponibilite des machines virtuelles

LAB : Schéma. Compagnie C / /24 NETASQ

PARCE QUE L ÉCOLE MÉRITE LE MEILLEUR

LES NOUVEAUTES DE COST AND PROFITABILITY MANAGEMENT 8.1

Transcription:

SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition [Investigation :Digital Forensics] Chef Atelier : Wissem BACHA (RT4) Wael EL HAJRI (RT3) Rim LAMOUCHI (RT4) Cheima BEN FRAJ (RT4) Amani HAMDI (RT4) 29/04/2012

Table des matières I. Présentation de l atelier :... 3 i Principes d investigation... 3 ii Présentation des outils et de l'atelier :... 4 II Présentation des outils utilisés :... 4 i. Volatility : (cas de live System )... 4 ii Autopsy : (cas de dead System )... 5 iii iphone Analyzer :... 5 III. Un scénario de test :... 6 i Analyse du RAM :... 6 ii Analyse du disque dur... 9 iii Analyse des smartphones :... 10... 11 2

I. Présentation de l atelier : Lors d un incident de sécurité au sein d un SI, il est nécessaire de comprendre le mode opératoire de l attaquant afin de retracer ses actions, mais également de pouvoir collecter assez de preuves pour pouvoir porter plainte. Pour cela, plusieurs techniques sont utilisées : Récupération de fichiers effacés Analyse des logs Analyse des fichiers infectés Analyse de la mémoire C est l art de découvrir et d extraire l information prouvant l occurrence d un crime informatique de telle façon à le rendre admissible dans le tribunal. Computer Forensics est une nouvelle science qui est apparue comme une réaction au crime informatique. Elle permet d appliquer la loi à l informatique, en employant les techniques d investigation pour identifier la cause origine d un crime informatique. Un crime informatique peut être une attaque, une intrusion ou toute activité malicieuse. i Principes d investigation Démarche générale Identifier la date de la compromission (T0) Reconstituer l activité du système depuis T0 Moyens disponibles Anomalies trouvées sur le système Log, accounting, données d audit Contrôle d intégrité Techniques d autopsie (fichiers effacés, analyse de binaires, etc ) Les préoccupations majeures La machine peut-être «piégée» Ne pas altérer les données du système Les principes retenus Capturer l état du système (préserver l existant) Analyser les données sur une machine tierce (poste d investigation) 3

ii Présentation des outils et de l'atelier : On va analyser un poste piraté,pour en extraire les traces du pirate, collecter les preuves pour comprendre les événements survenus, Identifier les altérations du système et Identifier l'attaquant et les motivations. L approche est différente selon que l on se trouve confronté à Un système fonctionnel («live system») => Analyse du RAM Un système non fonctionnel («deadsystem») => Analyse du disque dur La mémoire d un système d information se présente sous deux formes Volatile (RAM) Non volatile (Disque dur) L énumération des processus exécutés sur la machine ainsi que des connexions réseau ouvertes avant son extinction peut se révéler utile La capacité à identifier des processus suspects ou anormaux exige une compréhension complète des types de processus s'exécutant sur un système à un moment donné, ainsi que la façon dont ils devraient se comporter II Présentation des outils utilisés : Nous allons travailler sous SIFT WORKSTATION une distribution orienté Forensique disposant de tous les tools nécessaires à un bon technicien effectuant une analyse Disponible ici: http://computer-forensics.sans.org/community/downloads i. Volatility : (cas de live System ) Volatility est une collection d'outils open source, développé en Python sous licence GNU, pour l'extraction d'informations suspectes de la mémoire volatile RAM dans le cadre d'une investigation numérique. Les techniques d'extraction sont effectuées complètement indépendant du système étudié, et elles offres une visibilité sur l'état d'exécution du système.. Les capacités de Volatility : extraction depuis les dumps mémoire : Les processus en cours Les sockets ouvertes Les connexions réseau actives. les DLL chargées pour chaque processus les fichiers ouverts pour chaque processus 4

ii Autopsy : (cas de dead System ) Autopsy est un outil qui permet : d analyser, entre autres, les systèmes de fichiers FAT et NTFS d analyser les disques et les partitions aux formats DOS, BSD,Sun et Mac de récupérer des données supprimées d établir une chronologie des accès MAC aux fichiers de trier les fichiers exitants et récupérés en fonction de leur clé MD5 ou SHA et de leur type Autopsy est une panoplie d outils forensiques destinés à l analyse d une machine compromise. Il fournit des outils très performants pour analyser une machine compromise. Dans ce qui suit, nous allons l utiliser pour affiner notre analyse et retrouver certaines traces moins évidentes laissées par le pirate. Autopsy appuie sa démarche de recherche sur le recoupement des événements temporels. Pour cela, il introduit la notion de MAC time, MAC étant l acronyme de Modification Access Creation. En effet, la connaissance de ces trois attributs d un fichier peut fournir des informations décisives sur l activité du pirate. Autopsy ajoute la détermination de l access time qui est impossible en passant par les appels système standards. Pour que cette détermination soit possible, le système de fichiers doit avoir été sauvegardé par une copie des partitions, comme le permet dd, et non par une commande d archivage ou de copie de fichiers qui altérerait l access time. iii iphone Analyzer : IPhone Analyzer est un projet en Java récemment apparu sur Sourceforge dont la mission est de simplifier l'exploration en interne de son propre iphone ou d'un appareil pouvant contenir des données exploitables pour les autorités. L'accès au contenu de l'iphone s'effectue par le biais de l'interface en Java de IPhone Analyzer via un fichier de sauvegarde iphone ou une connexion ssh pour les iphones avec jailbreak,en accédant à l icloud. IPhone Analyser simplifie l'accès aux fichiers plist, sqlite, hex permettant de visualiser directement le contenu du carnet d'adresses, ainsi que les SMS envoyés et reçus, peut afficher le texte récemment tapé ainsi que la localisation exacte du smarphone en fonction du temps en utilisant les coordonnées stockés par la puce GPS de l iphone 5

III. Un scénario de test : On va analyser un poste piraté par metasploit,on va analyser toutes les traces du l opération du piratage par l analyse du mémoire RAM,puis l analyse du disque dur. Enfin on va présenter l investigation des smartphones,on prendra l iphone comme exemple. Acquisition de l'image mémoire : Sous un environnement virtuel VMWare,en créant une capture instantanée de la machine, l'environnement crée un fichier d extension.vmem qui contient le contenu de la mémoire physique RAM,qu'on l'exploitera dans la suite de l'atelier i Analyse du RAM : On va analyser le contenu de ce dump mémoire par le framework volatility Structure : volatility [plugin] -f FichierDump.vmem -p PID connscan : Cette commande permet de détecter toutes les connexions distantes,par la suite on va détecter toute connexion distante suspecte. Si l'investigateur n'a aucune information sur l'identité du machine avec l'adresse 192.168.1.120,alors elle sera suspecte et il va suivre toutes ses traces. Le processus exploité par le suspect a pour pid 1156 6

pslist Cette commande permet de détecter tout les processus suspects et leurs date d'exécution dlllist : Cette commande permet de découvrir tout les fichiers DLL chargés par un processus suspect, cette commande est intéressante pour découvrir la manière avec laquelle le pirate a defectué le système Pour notre cas,on note que la connexion suspecte a pour PID 1156 sortie de commande connscan" Le Meterpreter est un outil d intrusion ( tout en mémoire ) distribué comme payload depuis la version 2.2 de Metasploit. Le principe est d injecter une librairie (une DLL sous Windows) dans la mémoire du processus exploité, sans l écrire sur le disque. On peut identifier le type d attaque par les dll injectés. On peut les identifier en les comparant par les dll chargés depuis le même processus non exploité. Le processus exploité par le suspect a pour pid 1156,On va détecter tout les dll chargés pour le processus svchost.exe Les dll injectés par meterpreter sont encadrés,on peut les reconnaître en comparant les dll chargés par svchost.exe en un autre poste non piraté. 7

Securinets Securiday 2012 pro Edition [Investigation] Il se peut que le pirate utilise des outils anti-forensics,qui effacent toutes traces,le résultat sera comme suit 8

files Cette commande permet de déterminer les fichiers accédés pour chaque processus Importante pour déterminer les données que le pirate a pu accéder ii Analyse du disque dur Acquisition disque dur : dd if=/dev/sdb of=/home/sansforensics/desktop/img Nous allons commencer par utiliser Autopsy nous permettant d analyser les images précédemment copiées. 9

Cliquons sur «Files Activity TimeLines»qui permet de voir dans l ordre chronologique l accès / modification / supressions des fichiers sur la partition. Une fois le tri effectué, vous pouvez aller dans l onglet «view Timeline» afin de voir les fichiers vus/accédés en fonction de leur date.. A partir de ce résultat,on peut identifier la date exacte du piratage,par suite on peux récuperer toutes les données altérées et supprimés pour remettre le systéme informatique en fonction iii Analyse des smartphones : Pour le cas de vol du un smartphone (cas d iphone) On peux analyser les backup hebergés dans l icloud.par l identification via le login et mot de passe fournis avec l iphone iphone analyzer analyse ces backups pour en extraire : Toutes les SMS et appels envoyés et reçues Localisation du smartphone Cache du navigateur : historique de navigation 10

Informations à extraire Localisation du smartphone 11

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back