46 lines
1.5 KiB
Markdown
46 lines
1.5 KiB
Markdown
---
|
||
date: 2023-04-24T23:00:00+01:00
|
||
title: Ça tourne !
|
||
---
|
||
|
||
Sur Windows, toutes les exécutions sont tracées par divers moyens. L’un d’eux est appelé « Prefetch ».
|
||
|
||
L’objectif de l’exercice est de vous faire découvrir ce que sont les Prefetch.
|
||
|
||
{{% tag %}}Windows{{% /tag %}}
|
||
{{% tag %}}Prefetch{{% /tag %}}
|
||
{{% tag %}}Moyen{{% /tag %}}
|
||
|
||
Contexte du défi
|
||
----------------
|
||
|
||
Le SOC d’une PME s’est rendu compte qu’elle s’était faite compromettre. Votre équipe de réponse à incidents a été appelée pour évaluer la situation et préparer la remédiation. Votre première tâche consiste à déterminer si l’attaquant est toujours présent, depuis quand et s’il a vu qu’il avait été repéré.
|
||
|
||
Infrastructure à mettre en place
|
||
--------------------------------
|
||
|
||
Seront nécessaires dans l'infrastructure :
|
||
1 VM (Windows)
|
||
|
||
Pas-à-pas
|
||
---------
|
||
|
||
Réfléchir aux possibles actions/exécutions de l’attaquant et rendre cela crédible
|
||
Faire du bruit pour que la réalisation ne soit pas trop rapide
|
||
|
||
Traces à enregistrer
|
||
--------------------
|
||
|
||
Fichiers à fournir :
|
||
un dump de disque de la VM
|
||
|
||
Questions à poser :
|
||
Date de la première apparition de l’attaquant : il y a un délai de 10 secondes après l’exécution pour que le fichier soit écrit sur le disque (petit piège pour le joueur)
|
||
L’attaquant sait-il qu’il a été détecté ? Utilisation d’un wiper suite à sa détection (*sdelete* par exemple)
|
||
…
|
||
|
||
Ressources
|
||
-----
|
||
|
||
Outils d’Eric Zimmermann pour visualiser les prefetchs : PECmd.exe
|
||
Outil de Nirsoft WinPrefetchView |