Utilisez Autopsy pour analyser la copie du disque

Ici, nous allons utiliser le framework Autopsy téléchargeable à cette adresse. Autopsy est

une interface graphique de l’outil open source The Sleuth Kit.

1.Créez une enquête :

La première étape est de créer notre enquête, ou case dans Autopsy. Pour cela, ouvrez

Autopsy et cliquez sur New Case :

Nous nommons ici notre case "IR_001"

Remplissez ensuite les informations de base : le numéro de l'enquête ainsi que votre
nom.
Maintenant que notre cas est créé dans Autopsy, nous allons pouvoir ajouter notre image

disque.

2.Ajouter les images à analyser :

Ensuite, il faudra ajouter l’image du disque dur précédemment collectée, en cliquant sur Add

Data Source
Enfin, les données seront analysées et parsées par Autopsy. Vous devriez avoir un écran

comme ci-dessous. Le processing peut durer un certain temps en fonction de la taille de

votre image.

Analyse des données

Lorsque les données ont fini d’être parsées par Autopsy, il est possible d’explorer

notre image.

Par exemple, il est possible de voir les différents types de fichiers sur le système. Ici

nous affichons par exemple les exécutables sur le système, et nous retrouvons nos

exécutables suspects.
Nous récupérons ici les différent fichiers précédemment identifiés en faisant un clic
droit, puis Extract File.

Les différents fichiers exécutables récupérés sont les suivants :

• rad5163B.tmp.exe ;
• RGoEsDNcZhEnl.exe ;
• rfhyMVOQxfc.exe ;
• bVwHCYX.exe

En faisant une recherche par type de fichier ou par fichiers récents, nous trouvons des

fichiers suspects ouverts juste avant l'incident

: invoice.pdf, invoice.zip et invoice.docm.

Nous pouvons ajouter ça à nos indices pour l'investigation !

Il est également possible d’afficher les fichiers avec l’utilisation de chiffrement. Ci-

dessous, nous pouvons voir que le fichier invoice.zip utilise du chiffrement.

 En résumé
Dans ce TP4, nous avons exploré les éléments d’intérêt pour notre analyse sur la copie du

disque dur. Nous avons vu comment analyser et collecter la base de registre, les event

logs ou encore les services. Finalement, nous avons vu comment utiliser le

framework Autopsy pour analyser notre image disque.

Nous avons pu confirmer que l'attaquant a utilisé un moyen de persistance en créant une clé

run avec le nom YPDKhVAXzZSU qui démarre le

script VBS C:\Users\johnoc\AppData\Local\Temp\krtYMkVgyjNdd.vbs.

Nous avons également récupéré les logiciels malveillants identifiés, ainsi qu'un

fichier invoice.pdf, un fichier invoice.docm et un fichier invoice.zip.

Partie II :

Récupérer un email pour l’analyser

Le stockage des emails avec Outlook :

Avec Outlook, les emails sont stockés dans un fichier PST. Chaque compte de messagerie que

vous avez configuré dans Outlook reçoit sa propre base de données sous la forme d'un fichier

PST (Personal Storage Table), où les courriers électroniques, les éléments de calendrier, les

contacts et les rappels sont tous stockés.

Vous pouvez également remarquer des fichiers avec une extension .ost dans votre dossier de

données Outlook. Les fichiers OST ont le même format que PST, mais sont généralement utilisés

comme stockage temporaire hors connexion de courriers électroniques pour les serveurs

Exchange et les hôtes de messagerie Web tels que Gmail et Outlook.com.

Pour extraire les fichier OST et PST il est possible de se rendre dans le répertoire

suivant C:\users\username\AppData\Local\Microsoft\Outlook .

Nous récupérons ici notre fichier a l'aide de FTK Imager.

Viisualiser les fichiers OST/PST
Si vous utiliser Outlook vous pouvez tout simplement ouvrir ce fichier directement.

Nous utiliserons ici Free OST Viewer Tool.

Une fois que le fichier OST est chargé, nous pouvons explorer la boite email :
Nous pouvons voir ici qu'un email a été reçu provenant d'un adresse @guerrillamail.com qui est

un fournisseur d'email temporaire en ligne. Par ailleurs nous pouvons voir également le contenu

de l'email ainsi que sa pièce jointe invoice.zip

Après avoir analyser les emails nous avons récupérer des pièces jointes qui correspondent au

vecteur d’infection. Dans ce chapitre nous allons à présent étudier comment analyser des fichiers

malveillants. Nous nous concentrerons sur les fichiers PDF et Office précédemment découvert

Le format PDF a beaucoup plus de fonctions que juste du texte ; il peut inclure des

images et d'autres éléments multimédias, il peut être protégé par un mot de passe, il

peut exécuter du code JavaScript, etc.

PDF utilise le langage PostScript qui permet de structurer les données. Il peut

emporter plusieurs objets

Analyse d’un fichier PDF :

Maintenant que nous en savons un peu plus sur le format PDF nous pouvons a

présent analyser un fichier PDF un peu plus en détail. L'objectif va être d'y

rechercher des caractéristiques suspectes, telles que du code Javascript caché

dans le fichier, une technique souvent utilisée des attaquants.

Un des premiers outils que nous pouvons utiliser est PDFID qui nous permet

d’obtenir des informations de statistiques sur le fichier analysé.

Ici nous pouvons voir des informations concernant le contenu du fichier, le nombre

d’objets etc.. Par exemple nous voyons ici que le fichier PDF embarque du

Javascript.
Il est également possible d’utiliser l’outil pdf-parser pour parser le contenu du fichier

PDF

Dans cette partie nous venons d’étudier le fonctionnement des

fichiers PDF et Office comme vecteurs d’infections. Nous avons également vu

comment les analyser pour comprendre leur fonctionnement.

Ça y est ! La troisième étape de l'investigation forensic, l'étape d'analyse, est

terminée ! Vous avez analysé les différents artefacts qui vous ont été donnés et

vous avez identifié plusieurs indicateurs de compromission.

Dans la prochaine partie, nous passerons à la synthèse de votre investigation en

rédigeant le rapport d'investigation.