Writeup CTF Analyse forensique d'un système Windows avec Autopsy, CTF Renzik : UI
Une des épreuves de challenges préférés de l'équipe CTF LGHM
La capture du drapeau ou « capturez le drapeau » (souvent abrégé en CTF pour Capture the Flag), est un mode de jeu par équipe . Ce type de jeu a été adapté dans divers domaines ainsi qu'en cybersécurité. voir https://fr.wikipedia.org/wiki/Capture_du_drapeau certains pour passer le temps font des mots croisés, d'autres du sudoku, nous c'est du CTF :-)
Comment devenir pentesteur? Résoudre les énigmes CTF, et c'est facile avec l'outil pwnator LGHM by Ponemon technologies qui est un framework qui résume les principales étapes du pentest. Ideal pour récolter un max de points lors des épreuves CTF dans les conférences infosec . Mais avant, il faut s'entrainer: Pour commencer, voici comment obtenir un code de parrainage hack the box.
Bienvenue dans le writeup de Renzik! Il s'agit d'un CTF où les joueurs doivent retrouver Renzik, le chien kidnappé dont un gang demande une rançon au propriétaire. C'est parti!
Writeup CTF Analyse forensique d'un système Windows avec Autopsy, CTF Renzik : l'arbre
Les bases de l’interface
Tous les fichiers sont visibles depuis l’arbre vers le panneau de droite
L’arbre, ici avec 5 noeuds de la source de données:
On voit les données organisées par disques et repertoires. Pratique pour trouver les fichiers dans un certain répertoire, par exemple, le répertoire Desktop.
Une question? Posez-la ici
Besoin d'aide?
Analyse forensique d'un système Windows avec Autopsy, write up CTF Renzik : vues et résultats
Les vues
Organisé par type de données : images, documents, executables
Organisation possible par signature MIME type
Pratique si on ne cherche que les videos par exemple, ou les images.
Par taille : on voit de suite les plus gros volumes.
Les résultats
Résultats des requêtes des modules ingest
Pratique pour voir d’un coup d’œil les programmes sinstallés, les cookies, les téléchargements, l’historique web, les recherches web.
Une question? Posez-la ici
Besoin d'aide?
Quel est le nom du fichier dans l’espace non alloué dans le volume 1 ? Unalloc_3_0_1048576
Clic doit sur vol7, détail du système de fichiers, quel est le file system ? NTFS
Une question? Posez-la ici
Besoin d'aide ?
Ouvrir le répertoire « c:\case » et observer son contenu
Quelle est la base de donnée appelée ? autopsy.db
Taille de la base de donnée en Mb ? 225
Analyse forensique d'un système Windows avec Autopsy, write up CTF Renzik : les tags
Les tags qu’on a crée pendant l’enquête
Analyse forensique d'un système Windows avec Autopsy, write up CTF Renzik : les rapports
Les rapports générés
On peut lister les fichier par date, par toutes les colonnes
On peut faire des recherches par nom de fichiers, par exemple cheval
3 icones à droite des fichier signifient
-score : hash trouvé, intéréssant (le point d’exlamation rouge)
- commentaire (les notes jaunes)
- le nombre de fois qu’on a déjà croisé cet objet (dans les études de cas antérieures)
Le nom des repertoires peut etre traduit. Si on a des noms en arabe par exemple et qu’on ne connait pas l’arabe c’est pratique
Le Thumbnail permet de voir des miniatures
Analyse forensique d'un système Windows avec Autopsy, write up CTF Renzik : le panneau de visualisation
On peut voir un apercu des videos et l’interieur des fichiers avec cet Hex Viewer. On peut lancer HXD si on a besoin de davantages de ressources.
Voir en tant que « Text/Strings »
On peut voir si c’est du texte encodé. On peut visualiser les images en tant que texte
Le parser reconnait les structures .PDF et .DOC
On peut lancer la traduction avec Google ou Bing
Applications / HTML
On voit le html téléchargé, les images
Emails : on peut retrouver des emails dans une banque de données par exemple outlook.pst
Annotations : on peut prendre des notes
Analyser de textes, voir basis technology
Boutons de retour en arrière
On peut naviguer dans les précédantes enquêtes avec la flèche arrière
Le service de messagerie interne permet de s’echanger des messages entre collègues pour se tenir au courant des découvertes.
Regardons les données dans l’arbre.
1 Combien y a-t-il de bases de données là ? 59 on le voit dans view/file types/ By extension
2 quelle est la taille de la plus grande base de donnée ? 5 242 880 . On peut trier par taille
3 y a-t-il des bases de données de type MIME ? Non
4 Quels sont les noms des fichiers de taille entre 200 Mb et 1Gb ? $BadClus :$Bad , Winre.wim ,chrome.7z
PUB: Cyber Triage
Video triage : permet de voir des previews de video sans les regarder en entier.
Cyber Triage est un logiciel DFIR rapide et abordable que toute organisation peut utiliser pour la visibilité des terminaux. Conçu par l'équipe de Brian Carrier chez Basis Technology, Cyber Triage est sans agent et s'intègre à l'intelligence des menaces pour collecter et analyser automatiquement les données des terminaux.
Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu.
Ce cours, avec TD, POC et QCM d'évaluation est composé de ces autres chapitres:
Recherche de mots avec SOLR et TIKA
Vos commentaires/remarques sont les bienvenus: