À vous de jouer !
La société DigitalThinking SAS s’est récemment fait attaquer !
Vous êtes intervenu sur l’incident et avez réalisé toutes les analyses nécessaires du disque dur et de la RAM. Les conclusions de votre investigation sont les suivantes :
Un utilisateur du service Ressources humaines s’est fait compromettre son ordinateur le vendredi 22 octobre à 11 h 56. L’utilisateur a visité le site
www.my-monster-trucks.comet a été victime d’une exploitation de vulnérabilité de son navigateur (Drive-By-Compromise). Cette exploitation a permis à l’attaquant d’exécuter du code arbitraire sur la machine cible via l’utilisation de l’API Windows. Le malware exécuté a ensuite créé un service appeléSecureWinAutostart42pour s’exécuter à chaque redémarrage. Lors de l’exécution, le malware utilise la technique de Process Hollowing et modifie également la base de registre pour stocker des informations (HKEY_CURRENT_USER\Software\under\ID avec une chaîne de caractères aléatoire). Il est signé avec un certificat valide. Le malware identifié est un RAT (Remote Access Trojan) permettant à l’attaquant d’effectuer des actions sur le système telles que la collecte de données, ou encore la création d’utilisateurs. Lors de l’analyse, nous avons identifié plusieurs outils stockés dans le répertoire%temp%. Parmi ces outils, nous avons identifié les suivants :
un keylogger ;
un outil pour faire du brute force SQL ;
l’outil Bloodhound (outil open source) ;
L’outil Mimikatz (outil open source).
Le malware s'est connecté au serveur de Command & Control avec l’IP suivante :
92.222.106.43sur le port8080et avec le nom de domainewww.thatsnotme.it.Pour exfiltrer les données, l’attaquant a collecté dans un répertoire caché un fichier ZIP chiffré contenant des informations confidentielles (
C:\winmtr\hdd\server\backup.zip). Enfin, nous avons également découvert qu’un module de ransomware pouvait être activé mais n’a pas été utilisé durant l’attaque. Ce module aurait pu servir pour une seconde attaque ou pour supprimer les traces de l’attaque.
Maintenant que votre analyse est faite et vos IoC identifiés, il vous faut identifier et classifier les techniques utilisées dans la matrice ATT&CK, afin de mieux catégoriser l'attaque dans votre rapport. Pour chaque tactique (ou étape) de la matrice ATT&CK, donnez une description de la technique utilisée en donnant son nom. Vous pouvez bien sûr vous aider du site de la matrice ATT&CK répertoriant de nombreuses techniques connues.
Enfin, pour chaque technique utilisée, vous devrez ajouter l’IOC et proposer une solution permettant de limiter le risque d’une future exploitation de cette technique.
