TP INTRUSION WINDOWS

Description :

Une intrusion a été détecté sur un poste Windows de votre réseau. Vous êtes appelé
à faire des investigations avec l’outil SIEM Graylog pour explorer les différentes phases
de l’intrusion et comprendre les techniques utilisées par l’attaquant.
Vous êtes appelé à répondre à des questions pour identifier les vecteurs d'attaque et
déterminer les mesures de sécurité à mettre en place pour prévenir une telle intrusion
à l'avenir.

Questions :

1. Quelle est la première technique d’attaque utilisé par l’attaquant pour avoir un
premier accès au système (relevé le nom de l’utilisateur touché) ?
2. Créer une règle sur Graylog pour détecter la première technique d’attaque (la
captures de toutes les étapes de création de la règle doit apparaitre dans le
rapport).
3. Quelles sont les actions effectuées par l'attaquant une fois l'accès au système
obtenu ?
4. Quelle est la technique utilisée par l'attaquant pour masquer ces actions sur le
système ?
5. Créer deux (2) règles de détection pour détecter deux des actions suspectes
effectuées par l’attaquant
6. Quels indicateurs de compromission (IOC) peuvent être identifiés dans les logs
du système ?
7. Quelles étapes devraient être suivies pour restaurer l'intégrité du système après
une telle intrusion ?
8. Faire un schéma sur l’évolution de l’attaque, comme l’exemple suivant (les
attaques menées doivent être cyclique en fonction de l’ordre d’exécution) :

Escalation de
Malware C&C
privilège

Exfiltration de
Persistance Backdoor
donnée

9. De telle intrusion arrive souvent dans votre infrastructure, proposer une fiche
d’investigation prenant en compte les étapes du schéma que vous avez
proposé dans la question précédente (La fiche doit contenir les Query Graylog)

Toutes les questions doivent être répondu avec justificatif et capture à l’appui
 ANNEXE : ENVOI DES LOGS VERS GRAYLOG

1. Création de l’input pour les logs du TP

Pour envoyer les logs contenus dans un fichier .evtx à Graylog pour analyse, on va créer
un input pour ces logs pour qu’il ne se mélange pas avec les logs de la machine Windows
qu’on a déjà.
On crée l’input comme ci-dessous :
Dans System > Input on choisit beats puis Launch new input.

On donne un nom a notre input, puis un port ici le port 8000

2. Création du fichier de config de Winlogbeat

On se rend sur la machine Windows, puis dans C:\Program Files\Winlogbeat on crée un
fichier tp_windows.yml, En y ajouter le contenu suivant :

winlogbeat.event_logs:
- name: ${EVTX_FILE}
no_more_events: stop

winlogbeat.shutdown_timeout: 30s
winlogbeat.registry_file: evtx-registry.yml

# ------------------------------ Logstash Output -------------------------------

output.logstash:
# The Logstash hosts
hosts: ["192.168.56.75:8000"]

- Dans le paramètre hosts: Remplacer l’IP ci-dessus par l'IP de votre serveur
Graylog suivit du port de l’input crée ci-dessus dans ce cas 8000, puis enregistrez
le fichier.

Copier le fichier .evtx du TP fournit sur la machine Windows.

3. Envoi des logs à Graylog

Ouvrir un cmd en mode administrateur, puis déplacez-vous dans le répertoire de

Winlogbeat avec la commande :

> cd C:\Program Files\Winlogbeat

Puis envoyez les logs avec la commande suivante:

winlogbeat.exe -e -c ".\tp_windows.yml" -E
EVTX_FILE=C:\Users\Joseph\Documents\logs_tp_windows.evtx

- Après EVTX_FILE=(remplacer le chemin par le chemin du répertoire où vous avez

copié le fichier .evtx, dans mon cas dans le répertoire Documents.

Une fois les logs envoyez on peut retourner dans Graylog puis dans System > Input à
côté de l’input on a créé on fait Show received messages pour afficher les logs
envoyés.