help/content/exercices/ca_tourne.md

1.5 KiB
Raw Blame History

date title
2023-04-24T23:00:00+01:00 Ça tourne !

Sur Windows, toutes les exécutions sont tracées par divers moyens. Lun deux est appelé « Prefetch ».

Lobjectif de lexercice est de vous faire découvrir ce que sont les Prefetch.

{{% tag %}}Windows{{% /tag %}} {{% tag %}}Prefetch{{% /tag %}} {{% tag %}}Moyen{{% /tag %}}

Contexte du défi

Le SOC dune PME sest rendu compte quelle sétait faite compromettre. Votre équipe de réponse à incidents a été appelée pour évaluer la situation et préparer la remédiation. Votre première tâche consiste à déterminer si lattaquant est toujours présent, depuis quand et sil a vu quil avait été repéré.

Infrastructure à mettre en place

Seront nécessaires dans l'infrastructure : 1 VM (Windows)

Pas-à-pas

Réfléchir aux possibles actions/exécutions de lattaquant et rendre cela crédible Faire du bruit pour que la réalisation ne soit pas trop rapide

Traces à enregistrer

Fichiers à fournir : un dump de disque de la VM

Questions à poser : Date de la première apparition de lattaquant : il y a un délai de 10 secondes après lexécution pour que le fichier soit écrit sur le disque (petit piège pour le joueur) Lattaquant sait-il quil a été détecté ? Utilisation dun wiper suite à sa détection (sdelete par exemple) …

Ressources

Outils dEric Zimmermann pour visualiser les prefetchs : PECmd.exe Outil de Nirsoft WinPrefetchView