SOC Simulator

Challenge forensic FCSC 2024 — analyse d’une attaque multi-étapes sur infrastructure Windows à partir de 450 fichiers .evtx.

Préambule

Suite à un cours de forensic dispensé par Itarow, les étudiants ont utilisé Hayabusa et TimelineExplorer pour analyser le challenge SOC Simulator du FCSC 2024. Ce writeup présente une analyse personnelle du challenge.

SOC Simulator 1/5 — Vecteur Initial

Un opérateur d’importance vitale (OIV) alerte l’ANSSI d’une cyberattaque suspectée en été 2022. Le fichier soc_events.zip fourni contient 450 fichiers .evtx à analyser.

Interface Hayabusa

Avec Hayabusa et les règles SIGMA, les alertes critiques ont été identifiées. L’analyse révèle l’exploitation de la vulnérabilité ProxyShell (CVE-2021-31207) le 2022-07-04 à 15:36:43, créant un webshell via PowerShell.

Événements Hayabusa

Flag : FCSC{ProxyShell|2022-07-04T15:36}

SOC Simulator 2/5 — Vol de Secrets 1

Post-exploitation, les attaquants ont dumpé la mémoire de processus via comsvcs.dll. L’analyse révèle une exécution suspecte de rundll32 avec la fonction MiniDump ciblant lsass.exe.

GUID du processus : {b99a131f-0d4b-62c3-ce03-00000000db01}
Fichier de sortie : C:\Windows\System32\inetsrv\attr.exe

Flag : FCSC{b99a131f-0d4b-62c3-ce03-00000000db01|C:\Windows\System32\inetsrv\attr.exe}

SOC Simulator 3/5 — Exfiltration

L’Event ID 4104 (journalisation PowerShell ScriptBlock) a révélé une commande de collecte ciblant toutes les boîtes mail pour export PST vers \\exchange\C$\windows\system32\xwin\.

Flag : FCSC{2ee0ab1d44c759b09159ef21900c9826239a7b63e25c0e5935f200d30348b588}

SOC Simulator 4/5 — Mouvement Latéral

L’analyse des Event ID 4624/4625 révèle des tentatives de force brute suivies d’une authentification réussie sur Workstation2 avec les identifiants volés.

Timeline Explorer — brute force

IP source : 172.16.20.20
Compte : WORKSTATION2\Administrator
Heure (UTC) : 2022-07-06T13:26:57

Flag : FCSC{172.16.20.20|WORKSTATION2\Administrator|2022-07-06T13:26:57}

SOC Simulator 5/5 — Vol de Secrets 2

Dump mémoire supplémentaire sur le poste compromis avec la même technique.

GUID du processus : {b7e8a6b7-b2e8-62c5-e911-00000000d301}
Fichier de sortie : C:\Windows\system32\taskmgr.exe

Flag : FCSC{b7e8a6b7-b2e8-62c5-e911-00000000d301|C:\Windows\system32\taskmgr.exe}

Conclusion

Le challenge démontre l’application pratique des outils forensics (Hayabusa, TimelineExplorer, Chainsaw) pour l’analyse d’événements Windows, illustrant une attaque multi-étapes du compromis initial au mouvement latéral et à l’exfiltration de données.

WindowsLogsFCSC 2024

← retour aux articles