**TP 3 Digital Forensic**

# **TP 3 Digital Forensic** *GROUPE 6 : CHAUVIN Baptiste & JEUSSET MALO* ![](https://i.imgur.com/BcjnaHf.png) ![](https://i.imgur.com/4gcw07v.png) ``` 1- On peut compter 17 adresses différentes dans cette capture. 2- On peut associer 3 adresses à un équipement réseau du BSI : - 10.0.10.1 - 10.0.10.10 - 10.0.10.254 3- Le reste des adresses ne semblent pas faire partie du plan d'adressage de l'organisation, car ce sont des IPs publiques. ``` ![](https://i.imgur.com/q6nzzkT.png) ``` 1- On retrouve 4 IPs de la question précédemment trouvéees : - 10.0.10.1 - 10.0.10.10 - 10.0.10.254 - 142.0.1.42 2- Le port 80 (http) est celui qui est le plus présent : ``` ![](https://i.imgur.com/vGy87xU.png) ``` 3- Le protocol associé est TCP : ``` ![](https://i.imgur.com/wPzcie8.png) ``` 4- La conversation ci-dessus sort de l'ordinaire car elle dure beaucoup plus longtemps que les autres, et utilise un port (12000) différent des autres trames (port 80) : ``` ![](https://i.imgur.com/LBqd0Kh.png) ![](https://i.imgur.com/SaKZsti.png) ``` 1- Le nom de domaine associé à 10.0.10.10 est bsi.org : ``` ![](https://i.imgur.com/bGdP9FF.png) ``` 2- Le nom de domaine de 142.0.1.42 est wordpresstips.com : ``` ![](https://i.imgur.com/eDBJetM.png) ``` 3- Oui, elles confirment les informations tu TP1. ``` ![](https://i.imgur.com/he1qULv.png) ``` 1- Le protocole basé sur UDP est DNS : ``` ![](https://i.imgur.com/bitZ6Bk.png) ``` 2- Le protocole majoritairement présent et basé sur le TCP est le PDU (le http ayant moins de paquets ): ``` ![](https://i.imgur.com/SNmzvxe.png) ![](https://i.imgur.com/ILNYBVe.png) ``` 1- On retrouve 42 conversations listées dans l'onglet TCP : ``` ![](https://i.imgur.com/l1c0EI7.png) ``` 2- Il y a 4 IPs dans cette conversation : - 10.0.10.1 - 10.0.10.10 - 10.0.10.254 - 142.0.1.42 ``` ![](https://i.imgur.com/AU9SNHQ.png) ![](https://i.imgur.com/08MKxt7.png) ``` 3- Oui, on la retrouve comme on peut le voir ci-dessous : ``` ![](https://i.imgur.com/mIFg3ix.png) ![](https://i.imgur.com/NhfxivG.png) ``` 1- Les hôtes hébergeant un serveur HTTP sont : - www.bsi.org - wordpresstips.com - 142.0.1.42:80 ``` ![](https://i.imgur.com/sZc8iRp.png) ``` 2- L'hôte wordpresstips.com reçoit des requêtes suspectes (cf capture ci-dessous). En effet, on retrouve l'exécutable update.exe. ``` ![](https://i.imgur.com/8t1h1Nx.png) ![](https://i.imgur.com/U7EBMUL.png) ``` 1- On compte 9 racine de séquences de requêtes dans la fenêtre. 2- Effectivement, on retrouve le update.exe. ``` ![](https://i.imgur.com/hwqzWbx.png) ![](https://i.imgur.com/8LWIUfj.png) ``` A l'aide de la commande md5sum, on compare leurs valeurs, et on se rend compte qu'elles sont identiques : ``` ![](https://i.imgur.com/SbAiKE0.png) ![](https://i.imgur.com/isxV8wF.png) ``` 1- Le numéro de flux sélectionné est le 15 : ``` ![](https://i.imgur.com/FJ82ejj.png) ``` 2- Un total de 18 requêtes aparaissent dans le flux. 3- Les noms de fichiers sont : - info.ps1 - bw.bat - bw.bin ``` ![](https://i.imgur.com/uvE4zdi.png) ``` 4- Le nom d'hôte reste le même, c'est-à-dire wordpresstips.com : ``` ![](https://i.imgur.com/mSlZNL5.png) ``` 5- Selon les headers, le serveur HTTP est le serveur Apache/2.4.38 (debian). ``` ![](https://i.imgur.com/ZsKCULw.png) ``` -6 Trois fichiers sont récupérés : - info.ps1 - bw.bin - bw.bat ``` ![](https://i.imgur.com/RgnEyIE.png) ![](https://i.imgur.com/mUxmZnw.png) ![](https://i.imgur.com/10fglRF.png) ``` 7- Pour ce qui est du fichier info.ps1 : Dans un premier temps, le dossier temp est crée. Ensuite, il déclare les variables afin de préciser les chemins de chaque fichiers. Il peut alors télécharger les fichiers bw.bin et bw.bat. Il crée une tâche appelée Windows Update qui va exécuter le bw.bat. Il crée un nouveau process ayant comme objectif d'exécuter le bw.bin. (cf capture ci-dessous) : ``` ![](https://i.imgur.com/kRlxRDD.png) ``` Par rapport au fichier bw.bat : Tout d'abord, echo off est utilisé afin de ne pas afficher le script. L'option ep bypass permet de contourner les restrictions de sécurités. Le no profile précise au script de ne pas préciser de profile powershell tout simplement. Ensuite, le script va s'éxécuter, en passant notamment les chaines de cractères comme si elles étaient des commandes. Enfin, le fichier info.ps1 est téléchargé. ``` ![](https://i.imgur.com/qqpVbYQ.png) ``` En clair, le fichier bw.bin est un script python qui va initialiser une connexion au serveur wordpresstips.com avec des caractères pré-définis. ``` ![](https://i.imgur.com/gxSTx88.png) ![](https://i.imgur.com/hXLM3tG.png) ``` 1- Dans le script python le user agent est définit comme BSIbot (cf capture ci-dessous). On retrouve cet user agent a partir de 18h50:52 sur des requetes GET counter.js, cmd.css, ret.php, index.html. ``` ![](https://i.imgur.com/ik2C7yq.png) ``` 2- cf capture ci-dessous. La victime s'est rendu sur www.bsi.org et a subi un pop-up lui faisant télécharger le fichier update.exe. ``` ![](https://i.imgur.com/NGji4wW.png) ![](https://i.imgur.com/p8x5jLr.png) ``` 3- Le traffic nous permet de supposer, si ce n'est affirmer que la première victime de cette attaque se trouvait dans le réseau de la DMZ, à savoir le serveur 10.0.10.10. ``` ![](https://i.imgur.com/TrWWSqF.png) ``` 4- De ce que on a vu sur Internet, le port 1200 serait réputé pour être souvent utilisé par les attaquants. Ensuite, on peut voir que la communication est deux fois plus "lourde" que celle qui la suit (en terme de bytes). C'est également la communication qui dure le plus longtemps car elle échange beaucoup de paquets (443 paquets pour 186.00017 secondes). Enfin, cette communication se fait entre l'interface du routeur côté DMZ et une IP externe aux réseaux de l'architecture. ``` ``` 5- Le mot de passe de John Doe est présenté ici : ``` ![](https://i.imgur.com/Plnnj8Z.png)