# **TP 4 Digital Forensic**
*GROUPE 6 : CHAUVIN Baptiste & JEUSSET Malo*
```
1- La première action effectuée par l'attaquant que nous avons trouvé est qu'il
s'authentifie sur le serveur de la DMZ, où il va télécharger un fichier en
base 64, que wordpress va décoder.
```
(Plus lisible via wireshark)
```
2- Tout d'abord, l'attaquant s'authentifie sur le site wordpresstips.com
puis il télécharge le fichier dessus. (cf question 1)
3- On peut voir sur la capture ci-dessous que l'attaquant va en effet
créer/télécharger des fichiers sur le système.
```
```
4- La super-timeline permet de nous montrer que le pc de Joe n'est pas la
première victime, entre autre, mais que c'est bien le serveur web de la DMZ
qui a été la première victime de l'attaquant. Joe n'ai qu'une victime
"collatérale", alors piégé lorsqu'il se connecte sur le serveur. Des fichiers
compromettants vont alors être téléchargés, notamment update.exe.
```
```
1- On cherche d'abord le profil :
```
```
Maintenant que nous avons le profil, nous allons pouvoir rechercher les processus
en cours d'exécution :
```
```
On ne trouve aucun processus suspect.
Nous allons désormais regarder du côté des connexions réseaux actives :
```
```
2- Les connexions réseaux actives ne sous paraissent pas suspectes non plus.
```
```
Dans un premier temps nous allons visualiser les protocoles rencontrés lors de la
capture afin d'en apprendre davantage sur le trafic :
```
```
On observe alors que les protocoles les plus "présents"
sont, via TCP :
- HTTP
- Thrift
- Data
On retrouve aussi quelques trames d'ARP.
```
```
On jette ensuite un coup d'oeil aux conversations, on trouve 2098 conversations en
TCP au cours de cette trame. Étant donné que nous sommes sur un routeur pfsense,
cela ne nous surprend pas tant que ça.
En ce qui concerne les participants à la conversation, nous retrouvons 2 adresses :
142.0.1.10 et 142.0.1.42.
```
```
Plus tôt, nous avons converti le fichier pcap en netflow afin de l'étudier rapidement.
Et une conversation nous a attiré car elle est identique à celle vue lors du lab 3.
```
```
En effet, elle possède la même durée (186.000), le même port utilisé (12000) et la même source.
Seule la destination change : 142.0.1.10
On retrouve par ailleurs cette trame dans l'onglet conversation (vu juste avant).
```
```
Si l'on regarde désormais du côté des requêtes HTTP, on peut observer 4 hôtes
hébergeants un serveur HTTP, trois d'entre eux sont les mêmes que ceux vus lors du
lab3 ; ici, on peut en observer un autre qui est 142.0.1.10.
```
```
On retrouve les requêtes suspectes vues dans le lab3 concernant l'hôte
wordpresstips.com avec le update.exe notamment (cf capture ci-dessous) :
```
```
Une nouvelle fois, on retrouve des informations déjà observées dans le lab3, dans
les séquences de requêtes HTTP :
```
```
En comparant les sommes de contrôle MD5 du lab3 et de la capture du lab4, on se
rend compte qu'ils ont la même somme :
```
```
On peut donc dire que les captures du lab 3 et 4 sont liées étant données
qu'on retrouve les mêmes informations (du moins la quasi totalité) dans les
deux captures.
```
```
2- En filtrant les trames de cette manières, on peut en apprendre un peu plus :
```
```
On peut donc savoir que l'attaque s'est belle et bien passée sur le serveur de
la DMZ dans un premier temps. C'est comme ça qu'il a pu mettre en place le faux
fichier exécutable update.exe, qu'il faut télécharger lorsque l'on se connecte
sur www.bsi.org via un pop-up.
```
Sign in with Wallet
Connect another wallet