help/content/exercices/Avec une connexion déjà établie grâce a l’ordinateur de la.md

47 lines
1.7 KiB
Markdown
Raw Normal View History

2023-04-12 10:49:33 +00:00
---
date: 2023-03-24T13:34:21+01:00
title: Cest pas donnée
---
Avec une connexion déjà établie grâce a lordinateur de la victime, exfiltrez au plus vite des données de lentreprise pour les revendre.
{{% tag %}} exfiltration {{% /tag %}}
{{% tag %}} facile {{% /tag %}}
## Contexte du défis
Un employé dentreprise est parti en vacance avec son ordinateur de travail mais se lest fait voler.
Ne layant pas remarqué tout de suite, il sest passé 4 jours avant quil prévienne lentreprise et que ses comptes soient bloqués.
Lentreprise a peur de ce qui a pu se passer sur ce laps de temps, pouvez vous investiguer ?
## Infrastructure à mettre en place
- Ordinateur de lutilisateur
- Active Directory de lentreprise
- Un VPN
- Autres services spécifiques
## Pas-à-pas
Choisir les éléments (applications, serveurs, infrastructure, employés, fichiers) que lattaquant va pouvoir découvrir grâce a son accès.
Construire une mise en place logique de lattaque -> Peut-être quil regarde déjà ce qui est accessible de lutilisateur sur lequel il est connecté, peut être quil peut déjà commencer a télécharger ses fichiers, quest ce quil peut chercher par la suite ?
Possibilité de donner les fichiers jour par jour pour séparer les questions.
## Risques
- Lattaquant est pressé, il sait quil ne peut pas garder laccès indéfiniment -> faire retranscrire sa hâte dans les logs ?
- Si cest de la recherche il faut montrer des essaies non fructueux, pas seulement lessaie qui mène au résultat escompté.
- Attention à lhorodatage
## Traces à enregistrer
- Logs de lAD spécifiques aux actions de lutilisateur
- Logs réseau
## Liens