DFIR
Stage

Recherche sur les déplacements latéraux

Description du poste

Synacktiv recherche un stagiaire (H/F) pour participer à la consolidation des méthodes de traitement d’incident et d’audit de compromission.

Synacktiv collecte des journaux dans le cadre des incidents de sécurités traités. Bien souvent un attaquant cherche à se propager dans le réseau soit en exploitant des vulnérabilités soit en utilisant des moyens d’administration à des fins malveillantes. Dans certains cas, les journaux laissent des signaux forts de déplacement au sein du réseau : événement de connexion d’un compte d’administration dérobé, incohérence dans la chronologie des événements journalisés, lancement de service non activé, etc.

L'objectif de ce stage est la réalisation d'une méthode et d’un outillage pour rechercher ses signaux forts pour un environnement Windows. Le résultat doit permettre d’être interopérable avec l’ensemble des types d’engagement de Synacktiv : copie de disque, collecte ciblée ou utilisation d’un EDR.

Les axes de travail suivants sont à considérer :

  • étude des journaux ou artefact Windows sur des événements d’intérêt : prefetch d’exécution, marqueur fort (RDP, WMI, etc.) ou approche statistique ;
  • détection d’outils (mémoire/disque) connus pour être utilisés par les attaquants ;
  • outils de représentation visuelle des déplacements latéraux (ransomware notamment) ;
  • configuration à appliquer sur un parc pour avoir des journaux d’intérêt ;
  • cas d’un environnement hybride Cloud/On-Prem ;
  • consolider les informations dans une feuille de temps chronologique.

Le stagiaire peut donc espérer trouver des tâches système Windows, d’investigation numérique ainsi que de développement de système. Il est attendu que le stage débouche sur un CDI d’analyste au pôle réponse à incident chez Synacktiv.  

Profil recherché

  • Intérêt prononcé pour les systèmes Windows, Cloud et l’investigation numérique.
  • Intérêt pour tout ce qui concerne la recherche de compromission qu’elle soit avérée ou potentielle
  • Programmation Python.
  • Forte volonté d’apprendre, de progresser et d’innover sur les techniques de défense des systèmes d’information.  

Rémunération

Rémunération 1500€ brut / mois. Puis si passage en CDI : 42 000 € brut par an.

Localisation

Stage basé de préférence à Toulouse.

Postuler

Merci d'envoyer votre demande à apply@synacktiv.com.