donc merci thierry pour cette introduction nous allons donc passer les dix quinze prochaines minutes ensemble pour détailler de manière visuelle en fait l'ensemble de ce scénario et pour cela nous on a mis en place une petite infrastructure réseau pouvoir le jouer on a le poste de travail donc le poste de alex qui est le poste qui devait être compromis on a un active directory et on a une machine kelly donc et le poste de l'attaquant et on va simplement utiliser un framework plutôt connue qu'est le framework net à ce poids qui est plutôt classique pour réaliser donc des tests et des attaques heure avancée sur sur a raison avant de démarrer à proprement dit l'attak un petit point sur la configuration qu'on a activé sur le poste 2 alex donc bien sûr on active et le dr le module odeurs optimum mais on a désactivé l'intégralité des moteurs classiques de détection donc les moteurs détection fichiers détection officier mais également les moteurs de détection web mails et réseaux ont été complètement désactivé alors c'est quelque chose que mon papa a préconisé bien entendu dans un environnement réel pour ne laisser en fait que les modules nécessaires à la partie à des arts optimum donc le module l'analyse comportementale et le module de détection contre les exploits ces deux modules sont néanmoins positionner uniquement en mode surveillance ils vont voir la taxe sans pour autant chercher à la bloquer puisque le but ici c'est de voir l'investigation et l'analyse que l'on est capable de mener dans la partie donc le dr optimaux le module de roll back lui le ruminer sunshine est actif il est très important notamment courard initialiser l'âme et à la machine à l'état antérieur notamment en cas d' attaques avérées sur sur le reste comme la plupart des attaques se passent par la messagerie nous avons choisi cette méthode de compromission standard base et donc sur un e-mail piégé envoyé un autre utilisateur notre victime donc alex va recevoir un email avec une pièce jointe en l'occurrence il s'agit d'un cv un cv au format doc microsoft est comme tout le monde l'utilisateur donc alex va se faire piéger il va se faire infecter en ouvrant simplement ce document avant de laisser la chance à l'ex d'ouvrir le document compromis notre attaquant lui va seul être bien sûr en écoute d'une connexion on peut imaginer qu'il envoyait un mas mail ciblées à l'entreprise et lui il va se mettre donc en attente qu'un utilisateur peu attentionné double clic sur son fichier piégé pour pouvoir prendre la main sur sur cette machine donc c'est quelque chose qui va pas tarder puisque alex on va double-cliquez sur le cv il est en attente de recherche de candidats il double clic sur sur le cv on lui demande d'activer de la modification il sait pas trop ce que c'est et d'activer le contenu il va le faire légalement comme ça il est subjective et d'accéder à l'intégralité du groupe donc c'est un scénario plutôt classique et on voit d'ailleurs une information qui commencent à arriver dans l'interface kaspersky et une session sur la partie du poste attaquant une session cali qui vient d'être ouverte ce qui signifie donc maintenant l'attaquant va avoir la main sur la machine il peut d'ailleurs ouvrir cette section et il va voir s'il est réellement connectés en effet est connecté à alex c'est la machine d'alex aidé à base de windows 7 actuellement mon attaquant va utiliser les mêmes droits que l'utilisateur alex qui est actuellement connectés qui a pas forcément des droits administrateurs sur le sur l'horizon la première chose que la ferme l'attaquant sait qu'il va lancer donc une reconnaissance du réseau au travers une commande qui est plutôt simple comment nebbiu et il va récupérer comme ça l'intégralité des postes de l'infrastructure donc il récupère le poste à l'ex inattendue la console d'administration kaspersky mais est également active directory donc cette reconnaissance elle est également capté par la partie comportementale est remonté sous forme d' alerte dans le client kaspersky on voit très bien ici que quelqu'un à tenter d'exécuter un powershell inscrits pour shell et des commandos traverse les gorges maintenant mon attaquant va essayer de cacher ses traces parce qu'aujourd'hui à ce stade la tacc elle est parfaitement visible sur le post donc il ya un power shell actif il est visible dans nos process explorer et je souhaite mon attaquant c'est de s'injecter dans un processus légitime et comme on utilisateurs utilisent firefox c'est un bon processus pour l'injection c'est un outil qui a le droit de faire des connexions à l'extérieur je vais m'assurer que ce firefox et à jour en téléchargeant la dernière version du du client firefox avant de réviser la tac mais comme le fait le voeu que c'est un droit de faire des connexions à l'extérieur c'est impossible un profil pardon qui est un processus qui est parfait pour passer inaperçu cours pour mon opéra donc voilà non donc voila mon mon firefox et à jour sur le poste client l'attaquant lui va lancer la migration de son attaque vers firefox donc ça signifie que la bague qui est aujourd'hui exécuté de manière classique sur le post va utiliser firefox pour ce pour se cacher la préparation de la migration du processus donc il livre son processus d' attaque dans le processus alliant fox après lloris est exécuté avec succès on a une alerte les génériques qui est des tp la même manière que tout à l'heure en effet cette migration génère de la télémétrie que le client kaspersky détecte comme étant mal vu néanmoins en tant qu'attaquant je n'ai pas assez de droits pour effectuer des actions malveillantes un peu plus profonde donc je vais tenter ce que l'on appelle une élévation de privilèges je veux avoir tous les droits sur la machine et je vais utiliser une technique plutôt connue qui va utiliser en fait un bypass de l'ua s'est donc c'est lui l'exploitation de vulnérabilités qui existe sur windows 7 mais bien entendu il existe d'autres vulnérabilités qui sont exploitables y compris sur une hausse disent d'ailleurs cette technique de bypass de lui assez existent pour la partie à windows 6 donc en tant qu'attaquant maintenant je peux regarder quelles sont quels sont les privilèges et je vois plus je suis système donc maintenant que je suis système ça signifie que j'ai tous les droits sur la machine alors bien sûr ça ne me suffit pas pourquoi ça ne suffit pas parce que je peux faire tout ce que je veux sur la machine mais moi ce que je veux c'est d'avoir un compte administrateur je veux pouvoir me connecter à d'autres machines du réseau et celle que j'ai en tête plus particulièrement c'est la machine qui gère le réseau de l'actif directoire je peux donc tout à fait voler les identifiants et notamment les identifiants administrateur du poste au travers un outil alors j'aurais pu utiliser mimiques à ce qu'un titre a connu de vol d'identifiants mais ici j'utilise ashton veut servir en fait de ce h dans un mouvement latéral pour prendre le contrôle de l'activité recteur donc je récupère le compte administrateur et le h du mot de passe correspondant et je lance cette attaque pas je passe de hache comme authentifié sur la machine active directory donc je sais pas si vous voyez très très bien à l'écran mais j'ai utilisé donc les cris d'un show à l'administrateur le lâche du mot de passe de l'administrateur sur la machine qui est la machine active directory du domaine qui a été scanné lors du nebbiu dans le préambule de la tacc et je suis donc maintenant administrateur du domaine et notamment j'ai accès à la machine active directeur on pourrait aller encore plus loin mais pour finaliser le scénario l'attaquant va lancer directement une attaque par en dessous moyens je vais utiliser donc à 1,25 milliard de type file s c'est à dire qu'il n'a pas d'empreintes qui n'ont direct avant de se voir qui va monter directement issu d'une attaque en en mémoire c'est une attaque qui s'appelle networker c'est un vrai en dessous - c'est attaquer beaucoup d'impact cours en 2020 et il va cette attaque de rendre ce moyen sur la machine d'alex alors ça peut être pour effacer ses traces ou ça peut être simplement le but de son attaque de chiffrer l'intégralité du réseau on aurait pu le faire au travers l'activé directory mais ça prendrait un petit peu plus de temps mais le résultat est le même j'ai ici un ron sommer qui était censé s'exécute et donc sur la machine de alex cours la compromettre mais il s'avère que ici mon attaquant rencontre une heure il ne peut pas le lancer son rang de ses moyens et si je vais sur le poste 2 alex je vois que le moteur de détection comportementale qui est inclue d'un produit à juger certaines cette action beaucoup trop grave pour pouvoir la laisser passer et la bloquer lawrence noir a donc été supprimée il a été également supprimé du heures est pas dû à un répertoire tombe dans lequel il a été dopé à l'origine simplement parce que le risque pour le système était beaucoup trop important donc même si j'aimais modules classiques de détection qui sont intégralement désactivé et même si je suis en me de notification uniquement l'action d'un rendre ce moyen sur un poste est tellement critique que le produits kaspersky abl on voit d'ailleurs un rien n'a été rien été chiffrée sur sur la machine en question mais l'ensemble de ces actions vont être investigués donc depuis le security center qui gère le poste de 2e alex on va retrouver donc l'ensemble de ses activités dans la rubrique rapport sur les menaces donc le dr optimum pour rappel l'ensemble de la cartographie des cartographies d'incidents se trouve dans la partie reporting du security center et notamment dans la partie détails de la partie des rapports sur les sur les menaçant coach ici un certain nombre de deux cartes d'incidents moins celle qui m'intéresse ça va être la dernière on va essayer de remonter pour leurs dents creuses chronologiquement inverse on va retrouver le drop durant deux semaines donc j'ai ici un fichier ransomware ps1 qui était de regrouper dans un dossier de m j'ai le détail donc dans la rubrique file drop de ma cartographie d'incidents donc c'est m ransomware points ps1 je retrouve d'ailleurs l'adresse du poste de l'attaquant c'est l'adresse du poste qu'elle le drop qui a lancé le drame j'ai le nom de l'outil pour powershell un dj team avec l'ensemble de la ligne de commande utilisé par l'attaquant je vois que ce pouvoir chalet a été lancé par à processus légitime qui est le ever coin exc je peux si je le souhaite isolé la machine du réseau je pense que cette machine est compromise donc je lise hall du réseau je peux aussi empêcher l'exécution de ce fichier sur les autres machines de mon réseau je peux aller vérifier directement au porte sur le portail de ce raid intelligence kaspersky légitimité de l'authie m'assurer que ce n'est pas un faux positif est en effet il a bien h nommé malveillants chez chez kaspersky je pourrais aller vérifier par acquis de conscience sur un outil tiers type virustotal par exemple que cet outil est en effet dangereux et en effet il est allié chez crantée un éditeur de produits de sécurité et il apporte bien le nombre donc de n'être haut-le-coeur donc je suis bien en présence d'une attaque sérieuse sur le sur le reste donc toujours donc ma cartographie d'incidents j'ai accès à l'ensemble des événements qui vont qui se sont passés en fait lors de la tentative d' infections durant deux semaines et je peux utiliser ces événements pour créer une liste die aussi d' indice de compromission que ce soit au travers le fichier ps à l'adresse ip à la source de la table le répertoire temporaire jeu peut mixer en les couchant ces éléments puis lancez une recherche automatisée sur l'ensemble de mon parc et bien sûr avoir des actions de contre-mesures immédiat de type isolde une machine si elle est compromise ou lance un scan immédiate alors si vous souvenez juste avant cette attaque parents de semoirs il ya eu une exploitation du processus firefox donc encore une fois une exploitation d'un processus légitime je peux retrouver donc l'exploitation de ce processus on voit ici que j'ai un firefox pour les baisers avec son saint piat et dixons qui est dit de processus qui a été exploité et je peux tuer le processus firefox même s'il est encore en cours d'utilisation sur la machine je peux aller le tuer parce que j'estime qu'ils aient qui peut réaliser des actions malveillantes donc je viens le tuer directement sur la machine et si je remonte encore un petit peu plus loin dans mon scénario je retrouve le fichier doc le fameux fichier doc qui est à l'origine de la compromission du poste de d'alex et qui a été exécutée donc dans le répertoire temporaire de l'utilisateur par l'utilisateur lui même donc ça c'était l'étape du document word donc la première étape d'infection de la machine et si vous vous souvenez bien en fait ce document word qui est exécuté par par alex exécute lui même une commandes powershell qui est une commande malveillantes c'est à partir de là en fait où l'action réellement malveillantes arrive sur le sur le poste de l'utilisateur et je peux retrouver sept commandes powershell alors certes c'est une commande offusqué donc là on est sur le net view donc sur la partie reconnaissance par l'attaquant du réseau j'ai l'adresse ip qui est à l'origine de cette reconnaissance et j'ai le fameux powershell qui peuvent être utiles petit peu plus poussé voilà donc dans la console d'administration je retrouve tous les artefacts tout ce qui me permet en fait de procéder à une analyse détaillée de ce qui s'est passé sur le réseau comment cette menace est apparu comment elle s'est transférée d'une machine à une autre qu'est ce qui a été réalisé comme actions malveillantes sur le poste de travail de mon utile postes de travail de mon utilisateurs donc tout ça donc au travers le security center et au travers la cartographie d'incidents qui est générée donc pas la partie edr optim je vous remercie à tous de votre attention et je repasse sous la main à un mois du présent pour la suite de cette présentation la cie beaucoup