help/content/exercices/Avec une connexion déjà établie grâce a l’ordinateur de la.md
Pierre-Olivier Mercier 7c51d45a82
Some checks failed
continuous-integration/drone/push Build is failing
Add exercices samples
2023-04-12 12:49:33 +02:00

1.7 KiB
Raw Blame History

date title
2023-03-24T13:34:21+01:00 Cest pas donnée

Avec une connexion déjà établie grâce a lordinateur de la victime, exfiltrez au plus vite des données de lentreprise pour les revendre.

{{% tag %}} exfiltration {{% /tag %}} {{% tag %}} facile {{% /tag %}}

Contexte du défis

Un employé dentreprise est parti en vacance avec son ordinateur de travail mais se lest fait voler.

Ne layant pas remarqué tout de suite, il sest passé 4 jours avant quil prévienne lentreprise et que ses comptes soient bloqués.

Lentreprise a peur de ce qui a pu se passer sur ce laps de temps, pouvez vous investiguer ?

Infrastructure à mettre en place

  • Ordinateur de lutilisateur
  • Active Directory de lentreprise
  • Un VPN
  • Autres services spécifiques

Pas-à-pas

Choisir les éléments (applications, serveurs, infrastructure, employés, fichiers) que lattaquant va pouvoir découvrir grâce a son accès.

Construire une mise en place logique de lattaque -> Peut-être quil regarde déjà ce qui est accessible de lutilisateur sur lequel il est connecté, peut être quil peut déjà commencer a télécharger ses fichiers, quest ce quil peut chercher par la suite ?

Possibilité de donner les fichiers jour par jour pour séparer les questions.

Risques

  • Lattaquant est pressé, il sait quil ne peut pas garder laccès indéfiniment -> faire retranscrire sa hâte dans les logs ?
  • Si cest de la recherche il faut montrer des essaies non fructueux, pas seulement lessaie qui mène au résultat escompté.
  • Attention à lhorodatage

Traces à enregistrer

  • Logs de lAD spécifiques aux actions de lutilisateur
  • Logs réseau

Liens