Vous êtes sur la page 1sur 4

Séance 6 – Exercice – Analyse d’incident et rédaction d’un rapport

Préalables

Importez le fichier Incident4.pcap dans SecurityOnion

Situation

Vous apprenez qu’un utilisateur nommé Ronaldo Paccione a téléchargé un logiciel malveillant, mais vous
n'en savez pas plus. Analysez la capture afin de déterminer quel genre de menace le logiciel constitue.

Vous devez déterminer les informations suivantes:

 Identification de la victime: IP, MAC, nom d'hôte, de domaine, d'utilisateur

 IOC
o noms des fichiers, url d'origine, hachage SHA-256, nom du malware
o 2 hôtes: IP, nom d’hôte et domaine si possible
 Chronologie la séquence des évènements

CVE-2018-10918

Marche à suivre

Informations sur la menace

Dans Kibana, allez dans la section NIDS pour vérifier les alertes

 Quelle est l’adresse IP de la menace?

Client : 10.0.0.179

Des : 10.0.1.10
Dans Kibana, allez dans la section DNS. Dans la section DNS – Answers, retrouvez l’adresse IP et filtrez les
entrées pour cette adresse.

 Quel nom de domaine est utilisé dans la requête qui correspond à cette réponse?

Desktop-m1jc4xx.local

Dans SGUIL, sélectionnez l’alerte ET POLICY PE EXE or DLL Windows file download HTTP et à
partir de celle-ci ouvrez NetworkMiner pour accéder aux informations connexes.

 Quel est le nom du fichier téléchargé? jojo


 Quelle est sa valeur de hachage SHA-256?

Allez dans VirusTotal pour chercher des informations sur le fichier.

 Quel est le type du fichier?


 Quel est le malware associé (vous pouvez aussi chercher directement sur Google) ?
Informations sur les fichiers

Dans Kibana, allez dans la section Files. Dans Files – Source, vous pouvez constater que les protocoles
SSL, HTTP et SMTP ont été utilisés pour transférer des fichiers. Nous avons déjà établi que l’entrée pour
HTTP correspond au fichier jojo.exe; par ailleurs, SSL sert probablement à transférer des certificats. Il
reste donc SMTP; appliquez un filtre sur ce protocole.

Au bas de la page, triez les entrées dans Filter – Logs en ordre chronologique.

Pour l’entrée de 22:43:10, cliquez sur son identifiant (dans colonne _id); cela lancera capME où vous
pourrez voir les messages échangés.
 Quelle est l’adresse IP sur laquelle l’hôte local se connecte par SMTP?
 Comment caractérisez-vous les messages échangés?
 Pour chacun des messages entre 22h43 et 23h22, inspectez son contenu et tentez de déterminer
en quoi il consiste.

Dans Wireshark, ouvrez le fichier de capture entier, puis sauvegardez les fichiers correspondants aux
courriels envoyés avec File – Export Objects – IMF.

Informations sur la victime

Dans Kibana, allez dans la section Kerberos afin de récupérer les informations pertinentes:

 Quel est le nom du domaine?


 Quel est le nom de l’hôte?
 Quelle est son adresse IP?
 Quel est le nom d’utilisateur

Rédigez un rapport d'incident avec les informations récupérées.

Vous aimerez peut-être aussi