**TP 1 Digital Forensic**

# **TP 1 Digital Forensic** *Groupe 6 : CHAUVIN Baptiste & JEUSSET Malo* ![](https://i.imgur.com/5UaXAey.png) ![](https://i.imgur.com/N6hncPN.png) ``` Au vu du contexte de l’analyse, on peut supposer que ce prefetch ai un lien avec la « mise à jour » de notre collègue John Doe. ``` ![](https://i.imgur.com/wFOWiWe.png) ``` On peut constater que le fichier UPDATE.EXE est dans le répertoire téléchargement de l’utilisateur. Questions ``` ![](https://i.imgur.com/Ti1DYTD.png) ![](https://i.imgur.com/5tdnIiG.png) ``` L’exécutable se nomme UPDATE.EXE ``` ![](https://i.imgur.com/dYAktxM.png) ``` Le chemin absolu ci-dessus. ``` ![](https://i.imgur.com/M83Qngt.png) ``` Il a été éxécuté 1 fois, le 5 aout 2019. ``` ``` Firefox semble être lié à cet exécutable, ce qui paraît logique puisque le fichier a surement dû être téléchargé. ``` ![](https://i.imgur.com/4JqG58i.png) ![](https://i.imgur.com/viBwBS1.png) ``` 1- Selon file, le format du fichier est un PE32 executable sous Windows. ``` ![](https://i.imgur.com/LKURCeZ.png) ``` 2- Dans le fichier « update.exe.utf-16.le » on peut trouver des chaînes de caractères évoquant la présence d’Apache2.2.14 ce qui n’a rien à faire dans un .EXE. ``` ![](https://i.imgur.com/npLSi1V.png) ``` Via le fichier « update.exe.utf-8 » on peut confirmer l’utilisation d’Apache dans des requêtes comme POST, PUT et des variables utilisées pour se connecter à un server. ``` ![](https://i.imgur.com/0KMtLxn.png) ![](https://i.imgur.com/TfXMhgl.png) ``` 1- On peut donc observer des signatures Yara. 2- Cobalt functions, qui pourrait faire partie de la famille Cobalt Strike. ``` ![](https://i.imgur.com/jPpmEcR.png) ![](https://i.imgur.com/VbiHTti.png) ``` 1- Oui, le binaire est reconnu du service VirusToal. 2- On remarque que le binaire est identifié comme « Trojan » dans « familiy labels ». ``` ![](https://i.imgur.com/5PD0DiA.png) ![](https://i.imgur.com/znLR8hY.png) ``` 1- La première apparition du fichier remonte donc au 5 aout 2019 à 16 :46 :47. ``` ![](https://i.imgur.com/EoKHPU9.png) ``` 2- L’url complète est donc http://wordpresstips.com/update.exe ``` ![](https://i.imgur.com/L4BfvE9.png) ``` 3- L’utilisateur était d’abord sur http://www.bsi.org ``` ![](https://i.imgur.com/j4gnD0U.png) ``` 4- L’information de base de registre est stockée dans : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count ``` ![](https://i.imgur.com/fW4JMms.png) ![](https://i.imgur.com/wXYI1RQ.png) ``` 1- Personnellement, 1 exécution par programme ne nous paraît pas énormément suspecte, tout dépend des besoins habituels et des compétences de John Doe. 2- On pourrait demander à John Doe s’il se souvient avoir eu recours à ces programmes/Services. ``` ![](https://i.imgur.com/ez8pkg6.png) ![](https://i.imgur.com/Kcvttky.png) ![](https://i.imgur.com/CN5VREv.png) ``` 1- La date correspond mais pas l’heure, ici c’est 2h de plus que celle vu précédemment. On peut déduire que le PC est en UTC+2. ``` ![](https://i.imgur.com/6lVSFGJ.png) ``` 2- La tâche ci-dessus a donc pour but d’exécuter un script nommé « bw.bat ». ``` ![](https://i.imgur.com/COP0m00.png) ``` 3- La tâche sera « trigger » à 18 h49. ``` ![](https://i.imgur.com/8HAlXSY.png) ![](https://i.imgur.com/oWgLuTq.png) ![](https://i.imgur.com/R1KMaTT.png) ``` 1- Le script va télécharger le fichier info.ps1 sur http://wordpresstips.com 2- On retrouve le site http://wordpresstips.com ``` ![](https://i.imgur.com/QTv1P3P.png) ``` 3- Bw.bin est un script python. ``` ![](https://i.imgur.com/XE4oQw5.png) ``` 4-On peut donc apercevoir que bw.bat et bw.bin sont crées à la même heure (16 :49 :50) puis bw.lck a 16 :49 :54. ```