Anti-Forensic Intermédiaire - 3 days
Description
Les systèmes d'information modernes collectent en permanence un large volume d'évènements pouvant être générés au cours d'une intrusion. Afin de préserver la discrétion lors d'une compromission, il est nécessaire de comprendre les différents artefacts impliqués afin de les manipuler ou les effacer.
Au cours de cette formation de trois jours, les participants étudieront les différents mécanismes de journalisation présents sur les systèmes Linux et Windows, notamment au sein d'une infrastructure Active Directory. Des méthodes de contournement, de dissimulation et de suppression seront ensuite enseignées afin de maîtriser l'art de la discrétion. Ces notions seront illustrées à l'aide de travaux pratiques.
-
3 jours ( 21 heures )
-
2 modules de cours sur l'effacement des traces en environnements Active Directory et Linux
-
Nombreux exercices d'application
Public and prerequisites
Cette formation est adaptée pour des personnes ayant de bonnes notions d'intrusion sur les systèmes Windows et Linux. Elle s'adresse principalement aux pentesteurs, administrateurs systèmes et réseau, et architectes sécurité.
-
Pentesteurs
-
Administrateurs système et réseau
-
Architectes sécurité
Content
Jour 1
Fondamentaux Windows : types de journaux ( System, Security, Setup ), format EVTX, API de journalisation, forward d'évènements ( Event Log Collector, MDI ), étude des permissions d'accès, analyse du service de journalisation, outils de manipulation des journaux. Journalisation des mouvements latéraux : évènements générés via RDP, WMI, SMB, DCOM. Suppression des traces : modification des journaux nativement et manuellement, timestomping, masquerading, altération des services de journalisation, fichiers prefetch, ShimCache, AmCache, Shadow copies, USN, SRUM, ShellBags.
Jour 2
Persistance discrète : dissimulation de tâches planifiées, fileless WMI, camouflage de services, abus de paramètres de registre. Exfiltration de données : BITS. Active Directory : étude des évènements générés par différentes actions ( password spraying, requêtes LDAP, Diamond / Sapphire tickets, extraction du NTDS ) et méthodes à privilégier.
Jour 3
Linux et Solaris : types d'évènements ( établissement de session, obtention de TTY ), historiques, programmes d'administration ( su, sudo ), auditd et contournements. Persistance : développement de backdoors dans les composants applicatifs ou d'administration ( PAM, Apache ), injection de librairies, développement de méthodes d'exécution en mémoire.