Réponse à Incident

&
Analyse Forensique
Méthodologie
 A la demande de Pentest school, les logs de sécurité et les logs des systèmes suivants ont été remis à Pentest School pour analyse :

1. Xxxxx, un ordinateur victme d’une mise hors tension à distance non planifiée ( du xxxx au xxxx pour les logs de sécurité et du xxxxx au xxxx
pour les logs systèmes).

2. Xxxx, un ordinateur appartenant à xxx et susoecté de mise hors tension non planifiée ( du xxxx au xxxx pour les logs systèmes).

3. Xxxx le serveur de fichier sur lequel a été initié une commande de mise hors tension d l’ordinateur xxxx (du xxxx au xxxx pour les logs de
sécurité et du xxxx au xxxx pour les logs systèmes).

4. Le serveur active directory de centralisation des logs de connection ( du xxxx au xxxx pour les logs de sécurités et du xxxx au xxxx pour les logs
systèmes).

5. Xxxx, un ordinateur appartenant à xxxx, acteur des mises hors tension ( du xxx au xxxx pour les logs de sécurités et du xxx au xxx pour les logs
sstèmes et du xxx pour les logs ‘ Microsoft-Windows-User Profile Service%4Operationnal »).

6. Xxxx, un ordinateur appartenant à xxxx pour détection d’éventuels actes de malveillances ( du xxxx au xxx pour les logs sz sécurité et du xxx
au xxx pouer les logs systèmes

7. Xxxx, un ordinateur appartenant à xxxx pour détection d’éventuels actes de malveillances ( du xxxx au xxx pour les logs sz sécurité et du xxx
au xxx pouer les logs systèmes).

accès administrateur à O365 a aussi été confié à Pentest School afin de pouvoir détecter d’éventuels accés non autorisés à des données
confidentiels (documents,e-mail,etc..)

Une attention particulière à été portée sur les éléments suivants:

 Logs de connexions de la part du compte à l’origine de la mise « hors tension » à distance de l’ordinateur xxxx
 Processus exécutés sur les ordinateurs victimes ou ayant servi de point d’attaque
 Accès à des données à des personnes non autorisées.
Evènements et configurations suspects
découverts
 L’analyse Forensique des logs à permis de mettre en avant 3 évènement fortement
suspects:
1. Le xxxx à xxhxx (fortement suspect): Mise hors tension de l’ordinateur xxxx depuis l’IP xxxx par le compte « 
Administrateur ».

2. Le xxxx à xxhxx (fortement suspect): Mise hors tension de l’ordinateur xxxx depuis l’IP xxxx par le compte « 
Administrateur ».

3. Le xxxx à xxhxx (fortement suspect): Mise hors tension de l’ordinateur xxxx depuis l’IP xxxx par le compte « 
Administrateur ».

Aucune mise hors tension suspecte de l’ordinateur de xxxx n’a pu être constaté.
Aucun autre acte potentiellement malveillant n’a pu être détecté que ce soit sur le serveur
de fichier, sur O365 ou sur les ordinateurs appartenant à Monsieur xxxx,xxxx,xxxx.
 Chronologie par horodatage de l’évènement suspect N°1
 Thèse fortement probable (99,9% d’assurance):
 Une personne contrôlant l’ordinateur de xxx (« xxxx$ ») se connecte au serveur « xxxx » avec le
compte «  administrateur » de mise hors tension à distance de l’ordinateur « xxxx ».
Xxx à xxx Xxx à xxx Xxx à xxx Xxx à xxx
Le compte xxx se connecte au Le compte « administrateur » se L’ordinateur de xxx indique Le compte
serveur de fichier « xxxx » connecte au serveur de fichier «  qu’une mise hors tension « administrateur » ouvre le
depuis l’IP xxxx pour acc&der à xxx » depuis l’IP xxxx pour accéder au a été initiée par le compte processus
des dossiers partagés bureau à distance du serveur. Cette IP « Administrateur » depuis l’IP « shutdown.exe »
est la seule ce jour à s’être connecté xxx utilisée par le serveur
de cette manière. « xxxx »

Source :xxxx Source :xxxx

Source :xxxx Source :xxxx
Evènement Windows: 4624
Evènement Windows: 4624 Evènement Windows: 1074 Evènement Windows: 4688
Type : 3 – Réseau
Type : 10 – Remote interactive Type : Remote shutdown Type 10 – Remote interactive
Date : xxxx
Date : xxxx Date : xxxx Date : xxxx

Xxxx Point d’attention concernant l’horodatage :

Le compte « xxxx $ » se
connecte au serveur de fichier
- Le xxx l’ordinateur xxxx indique une mise hors tension a été initiée sur lui, par le compte « 
« xxx » depuis l’IP xxxx pour administrateur depuis l’IP xxxx utilisée par le serveur « xxx ».
accéder à des dossiers partagés. - de ce log de mise hors tension intervient 43 seconde avant l’horodatage des actions
Il s’agit de l’ordinateur associé suspectes réalisées avec le compte «  administrateurs par très probablement « xxxx » surle
au compte « xxxx » serveur « xxxx ».
Source :xxxx - -Cette inconsitance est liée à une mauvaise synchronisation des heures « systèmes » au sein
Evènement Windows: du parc informatique de xxxx. Il faudrait vérifier si l’horloge del’ordinateur « xxxx » est en
4624
Type : 3 – Réseau
retard de quelques dizaines de secondes avec celle du serveur « xxx ».
Date : xxxx
 Recommandations
Recommandations
Favoriser l’utilisation de comptes individuels d’administration faisant figurer le nom de Critique
l’administration réalisant les configurations
Mettre en place l’authentification forte à double facteurs (MFA) pour se connecter à Critique
O365
Installer une solution de surveillance et de réponse aux incidents sur les postes de Importante
travail et serveurs de ( Exemple de solution: Carbon Black response).
Mettre en place une solution de collectes centralisées des logs de sécurité Active Importante
Directory ( Exemple : Elastic Search/Kibana) afin de faciliter le travail des enquêteurs
en cas d’incident de sécurité. Ces logs permettront aux enquêteurs de connaître
rapidement les systèmes sur lesquels un pirate s’est connecté. Une rétention des logs
d’au moins 90 jours est préconisée.
Synchroniser les heures des systèmes : tous les systèmes doivent indiquer la même Importante
heure.
Harmoniser les politiques de log des évènements sur le système (les types Importante
d’évènements loggés ne sont pas les mêmes d’un système à l’autre ce qui peut difficile
l’analyse forensique).