Académique Documents
Professionnel Documents
Culture Documents
&
Analyse Forensique
Méthodologie
A la demande de Pentest school, les logs de sécurité et les logs des systèmes suivants ont été remis à Pentest School pour analyse :
1. Xxxxx, un ordinateur victme d’une mise hors tension à distance non planifiée ( du xxxx au xxxx pour les logs de sécurité et du xxxxx au xxxx
pour les logs systèmes).
2. Xxxx, un ordinateur appartenant à xxx et susoecté de mise hors tension non planifiée ( du xxxx au xxxx pour les logs systèmes).
3. Xxxx le serveur de fichier sur lequel a été initié une commande de mise hors tension d l’ordinateur xxxx (du xxxx au xxxx pour les logs de
sécurité et du xxxx au xxxx pour les logs systèmes).
4. Le serveur active directory de centralisation des logs de connection ( du xxxx au xxxx pour les logs de sécurités et du xxxx au xxxx pour les logs
systèmes).
5. Xxxx, un ordinateur appartenant à xxxx, acteur des mises hors tension ( du xxx au xxxx pour les logs de sécurités et du xxx au xxx pour les logs
sstèmes et du xxx pour les logs ‘ Microsoft-Windows-User Profile Service%4Operationnal »).
6. Xxxx, un ordinateur appartenant à xxxx pour détection d’éventuels actes de malveillances ( du xxxx au xxx pour les logs sz sécurité et du xxx
au xxx pouer les logs systèmes
7. Xxxx, un ordinateur appartenant à xxxx pour détection d’éventuels actes de malveillances ( du xxxx au xxx pour les logs sz sécurité et du xxx
au xxx pouer les logs systèmes).
accès administrateur à O365 a aussi été confié à Pentest School afin de pouvoir détecter d’éventuels accés non autorisés à des données
confidentiels (documents,e-mail,etc..)
2. Le xxxx à xxhxx (fortement suspect): Mise hors tension de l’ordinateur xxxx depuis l’IP xxxx par le compte «
Administrateur ».
3. Le xxxx à xxhxx (fortement suspect): Mise hors tension de l’ordinateur xxxx depuis l’IP xxxx par le compte «
Administrateur ».
Aucune mise hors tension suspecte de l’ordinateur de xxxx n’a pu être constaté.
Aucun autre acte potentiellement malveillant n’a pu être détecté que ce soit sur le serveur
de fichier, sur O365 ou sur les ordinateurs appartenant à Monsieur xxxx,xxxx,xxxx.
Chronologie par horodatage de l’évènement suspect N°1
Thèse fortement probable (99,9% d’assurance):
Une personne contrôlant l’ordinateur de xxx (« xxxx$ ») se connecte au serveur « xxxx » avec le
compte « administrateur » de mise hors tension à distance de l’ordinateur « xxxx ».
Xxx à xxx Xxx à xxx Xxx à xxx Xxx à xxx
Le compte xxx se connecte au Le compte « administrateur » se L’ordinateur de xxx indique Le compte
serveur de fichier « xxxx » connecte au serveur de fichier « qu’une mise hors tension « administrateur » ouvre le
depuis l’IP xxxx pour acc&der à xxx » depuis l’IP xxxx pour accéder au a été initiée par le compte processus
des dossiers partagés bureau à distance du serveur. Cette IP « Administrateur » depuis l’IP « shutdown.exe »
est la seule ce jour à s’être connecté xxx utilisée par le serveur
de cette manière. « xxxx »