Stage chez Thierry Meyer Consultants : Réponse à incident

on

Lors de mon stage chez Thierry Meyer Consultants, j’ai eu l’occasion d’aider à effectuer une réponse à incident.

Un matin, un client appelle le cabinet pour annoncer qu’il a été victime d’un ransomware sur un de ses serveurs et en plus de ça son serveur de backup n’était pas allumé il n’a pas pu effectuer de backup et récupérer des données sauvegarder.

Pour commencer lors d’une réponse à incident il faut effectuer une Timeline des événements pour comprendre comment le serveur à été compromis et quand cela s’est passé.

La machine compromise était un serveur qui tourné sur Windows serveur 2012, en premier lieu nous avons regardé l’observateur d’événement pour voir si il y avait des traces du passage de l’attaquant et il s’est avéré qu’il y avait des informations qui nous ont permis de déduire que l’attaquant était rentré par le protocole RDP du serveur, au début nous avons pensé à une attaque par la faille Bluekeep mais après recoupement des infos on en a déduis qu’il s’agissait en faite d’une attaque par bruteforce sur le protocole RDP et que le mot de passe du compte administrateur était trop faible ce qui à laissé une porte ouverte à l’attaquant.

Ensuite on a essayé de chercher de comprendre ce qu’il a voulu faire et ce qu’il a fait sur la machine.

L’attaquant après s’être connecté à essayé de lancer un Mimikatz qui a été bloqué par l’antivirus du serveur et à par la suite introduit un ransomware modifé pour l’exécuter sur la machine.

Aprés analyse nous n’avons pas réussi à trouver l’exécutable pour essayer de l’analyser et de le reverse. il est donc impossible de retrouver les données qui ont été chiffré par le virus, une fois l’analyse et la RI effectué Thierry à écrit un rapport de réponse à incident pour détailler toutes les actions que nous avons effectué et avec les propositions de remédiation pour éviter que l’entreprise victime de cette attaque ne subissent la même attaque une deuxième fois par la même faille de sécurité.

 

En conclusion cette expérience m’aura appris la bonne méthodologie à avoir dans les situation de Réponse à incident pour ne pas oublier de traces et pour ne pas en effacer involontairement, c’est quelque chose de très intéressant et très enrichissant car pour une fois on se retrouve du coté Blue Team et on essaie de comprendre la méthodologie de l’attaquant et vu qu’en labo et en cours je ne fait que de l’attaque c’est très sympa de voir comment cela ce passe du coté défenseur.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *