# FORENSIKI --- ## Introduction Le forensique vient des état-unis et de la lutte contre la pedocriminalité Objectif d'une analyse forensique pour un cybercrime, il faut trouver : Le moyen : quels outils L'opportunité : quelles faiblesses La motivation : La raison # Les types de preuves A. capture réseau B. document imprimé (points jaunes et autre techniques de watermarking) C. e-mail D. historique internet (RAM - dump mémoire sur les endpoints au moment où la personne surfait sur internet, capture réseau - attention aux flux chiffrés, smartphone, disque dur - si le endpoint est configuré pour stocker l'historique) E. photo numérique F. sms ou messagerie instantanée G. vidéo numérique (caméra de surveillance) skimming : arnaque au distributeru de billet (puce qui enregistre) Pourquoi chiffrer les infos sur la puces ? Pour que la personne qui récupère le matériel n'utilise pas les informations récoltés # Compétences requises A. Communication (Une bonne expression écrite et orale) B. Confidentialité (Attention à la divulgation d'informations) C. Curiosité (Aimer apprendre tout le temps) D. Langue E. Légal F. Techniques (réseau, sécurité et système) # Hardware Médias pouvant contenir de l'informations A. Bande magnétique B. CD C. Disque Blu-Ray D. Disquette E. DVD # Investigation en ligne Blanchiment d'argent Contrefacon ou toute autre violation de propriété intelectuelle Cyberharcèlement Fraude à la carte bancaire # OSINT # Les preuves numériques Scène de crime : Environnement dans lequel les preuvres peuvent exister (Physique ou Virtuel) Physique : Serveur, endpoint Virtuel : VM, ... Les preuves numériques sont : Facilement modifiable Une capture d'écran peut être suffisant pour certains client mais pas pour le juridique Il manque de procédures et de standards établis Plus facile à dupliquer que les preuves physiques Attention aux durée de vie des preuves numériques Elles doivent être : Admissible, Authentique, Complète, Fiable et juste, Convaincante Recevabilité de la preuve : Intégrité(hash), Authenticité(sognature des logs par la clé privée du SIEM), Vérifiabilité, Durabilité(Durée de conservation), Exploitabilité # La collecte et préservatin des traces Chaine de possession - Quelle est la preuve - Comment l'avez-vous obtenu - Quand l'acquisition a eu lieu - Qui l'a manipulé - Où était-ce stocké (physiquement et virtuellement) La saisie est effectuée par/avec les forces de l'ordre, mais toujours par un technicien formé, elle doit respecter la loi et peut nécessité un mandat. Identifier les données (compressées ou non) Identifier les paramètres de l'acquisition (Une partie ou le disque complet) Collecte des informations du BIOS (horodatage par exemple (RTC/CMOS)) Prendre des photos (de l'environnement, des objets, des câbles) Ajouter des étiquettes pour éviter les doublons Acquisition des données (Utiliser du matériel pro, préserver autant que possible) Authentifier la donnée (hashes) Traces détruites quand on débranche l'alimentation d'un ordinateur : Certaines clés de registres Des clés de chiffrement Des paramètres de configuration Les fichiers ouverts Certains fichiers temporaires Les processus Un malware (s'il réside uniquement en mémoire et qu'il n'est pas persistant) Problème lié à l'acquisition mémoire : Brancher le périphérique pour collecter la mémoire la modifie (garder la trace des actions, ...) SSD : Uniformation d'usure (données déplacées à une nouvelle destination toutes les 5 écritures, détruit la fragmentation, la topologie mémoire change fréquemment) Trim (les contrôleurs SSD nettoient l'espace mémoire non-utilisé, est lancé par les OS, récupérer les données effacées est presque impossible) Performances (prefetch et readyboost peuvent être désactivés) Conséquences : Le hash change tout le temps donc pas de preuve d'intégrité Il est recommandé de collecter directement les données sur un SSD la machine allumée Le système est éteint, comment récupérer les preuves en mémoire vive ! -> Dump mémoire %WINDIR%\MEMORY.DMP Créé durant un crash système, c'est l'exacte réplique de la RAM -> Le fichier hibernation %SystemDrive%\hiberfile.sys Image compressée de la RAM -> Le fichier page %SystemDrive%\pagefile.sys Page de la mémoire swap Couches du système de fichier Physical File System Data Layer (quand les données sont supprimées, elles sont juste retirées du système de fichier, elle deviennent non-allouées et peuvent être écrasées, les données incomplètes récupérées s'appellent des fragments de données, slack space) Metadata # Analyse de malware Statique : Analyse du malware sans l'exécuter Outils : gdb, Ghidra, IDA, radare2 Dynamique : Exécution du malware dans une sandbox Outils : Cuckoo, Frida, IDA, Ollydbg Limites : Obfuscation, Packer, Malware Polymorphe, Malware Métamorphique, ... Un malware peut savoir qu'il est exécuté dans une VM grâce à : certaines valeurs dans la base de registre certaines services l'adresse MAC certains noms de repertoire certains noms de processus (et les DLL utilisés) en détectant des mouvemens de la souris En regardant combien d'espace disque libre il reste # OS FORENSIC Premier chose à faire : Identifier le format de système de fichiers ## Windows Suppression de la corbeille = modification de l'index du fichier File System sur Windows : NTFS, FAT16, FAT32 MFT (Master File Table) -> NFTS, tous les fichiers, répertoire et métadonnées sont stockés dans la MFT Base de registre Windows -> Systèmes de configuration via clés/valeurs Shadow copy -> Service de sauvegarde automatique sous Windows Comment retrouver un mot de passe utilisateur sur Windows ? Dump mémoire du processus lsass.exe Brute-force des hash de la base SAM En le demandant à l'utilisateur En le trouvant en clair dans un fichier (effacé) Chiffrement (BitLocker) : mode transparent, mode clé usb, mode authentication user Gestion des journaux (Observateur d'évènements) - Application, Sécurité, Système, Powershell ## Mac Hierarchical File System (HFS) Découper en trois partie (Local,Domain,User) ## Linux Système de fichier linux : ext4, zfs /bin - common programs /boot - kernel and other boot files /dev - périphériques /etc - configuration files /home /lib - shared libraries /lost+found - damaged files /misc /mnt - mounted file system /proc - variables du Kernel /root - root home /sbin - system /tmp - temporary files /usr /var - log, ... Comment obtenir la clé de déchiffrement d'un disque dur sur Linux ? Depuis le dump mémoire En le demandant à l'utilisateur En le récupérant dans la puce CMOS ou autre endroit physique .bash_history : comprendre ce qu'il s'est passée sur la machine journaux web : adresse IP source, horodatage, méthode requête, URI, code la réponse, User-Agent # Forensic Réseau Périphériques réseaux : HUB, IDS, Firewall, Routeur, Serveur DHCP/DNS/Proxy/SMTP/WEB, Switch Format d'une capture de paquet : pcap Rappels Modèle OSI : Application, Présentation, Session, Transport, Réseau, Liaison, Physique ARP : Convertir adresse @MAC(L2) en @IP(L3) Comment bloquer un tunnel SSH s'il ne connait pas le port TCP ? Pare-feu applicatif de L7 IOC - Indicator of Compromise (Indicateurs de compromisssion) Adresse IP - IP source utilisée pour plusieurs attaques Hash MD5 - Hash de processus malveillant Mutex - Chaîne de caractère unique qui permet de réserver une ressource Nom de domaine Nom de fichier URL # Forensic terminaux mobiles Pourquoi ? Car il y notre vie dedams, géolocalisation, réseau cellulaire en clair ... Réseau cellulaire : GSM (décoréller du réseau TCP/IP) Les sms ne sont pas chiffrés Problématique : Batterie et En permanence connecté donc possibilité d'effacer les traces (cage de faradet) Cage de faradet : isolation des ondes Extraires des preuves inforensiques d'Android ? Retirer la puce du smarthpone (en dernier recours) - SIM = identifiaction au près de l'opérateur JTAG Logique en copiant les fichiers accessibles Physique en acquérant l'image du backup Différence Android/iOS : Open source Android Ring 3 - Apps (sandboxées en userland) Ring 0 - Système Hardware Application pour analyse statique android : Jdgui, jadx 1. Analyse statique (APK sur android - java) Que rechercher : Des secrets codés en dur, La crypto utilisée, @IP, Certificats, Modifications en root, Accès au système, ... 2. Analyse dynamique --- --- --- # Quels sont les objectifs d'une analyse inforensique ? Comprendre ce qu'il s'est passé lors d'un cybercrime # Quels sont les informations à retrouver en priorité lors d'un cybercrime ? Le moyen (outils), L'opportunité (faiblesses), La motivation (raison) ## Types de preuves inforensiques Capture réseau, Document imprimé, E-mail, Historique, Photo, Vidéo, Sms # Quel est la preuve inforensique la plus importantes ? E-mail # Pourquoi l'e-mail est si importante ? Il y a toutes les informations importantes (propriétaire, horodatage, difficile de le modifier, relativement simple à accéder, redoncance serveur + en ocal, destinataire) # Où peut-on retrouver l'historique internet ? Dans la RAM, Dans une capture réseau, Sur le smartphone, Sur le disque dur # A quelle condition peut-on retrouver l'historique dans la RAM A condition d'avoir un dump mémoire au moment où la personne surfait sur internet # Quelles informations peut-on trouver dans une image ? Le contenu et ses méta-données # Qu'est-ce qui est intéressant dans un SMS ? Les données ne sont pas chiffrées et donc accessibles en clair # Quelles sont les compétences requises pour un investigateur ? Communication, Confidentialité, Curiosité, Langue, Légal, Techniques ## Types de connectiques Disque Durs : SCSI, IDE, SATA Disque amovible : USB, FireWire, MMC # Quels médias peuvent contenir de l'informations Bande magnétique, CD, Disque Blu-ray, Disquette, DVD # Comment dissimuler la véritable identité d'un agent sous couverture ? I2P, P2P, Proxy, Pseudo, SecureDrop, Tor, VPN # A quoi peut servir l'OSINT dans le cadre d'inforensique Rechercher les antécdédents d'une personne ## Outils pour l'OSINT censys.io, github, havibeenpwned, shodan, virustotal, ... ## Types de cybercrime Blanchiment d'argent, Contrefaçon, Cyberharcèlement, Fraude à la CB, Hébergement de services en ligne illégaux, Rançongiciel, revenge porn, Revente de données sensibles, Vol d'identité # Qu'est-ce que le magic number ? Une constante qui désigne le type de fichier # Quels sont les deux types de preuves qui existent ? Physique (serveur, endpoint), Virtuelle (Données, VM) # Qu'est ce qui est vrai concernant une preuve virtuelle ? Facilement modifiable, Une capture d'écran peut en être, Manque de procédures et de standards # Quels sont les règles pour les preuves numériques ? Admissible, Authentique, Complete, Fiable et Juste, Convaincant # Qu'est ce qui fait d'une preuve qu'elle est recevable ? Intégrité (hash), Authenticité (signature des logs par la clé privée du SIEM), Vérifiabilité, Durabilité, Exploitabilité ## Chaine de possession Quelle est la preuve ? Comment l'avez vous obtenu ? Quand l'acquisition a eu lieu ? Qui l'a manipulé ? Où était-ce stocké ? # Par qui doit être effectuée la saisie ? Souvent par des forces de l'ordre mais toujours par un tehcnicien formé ## Collecter les informations Identifier les données (Compressées, non compressées ? En direct, hôte éteint ?) Identifier les paramètres de l'acquisition (Disque complet ?) Collecte des informations du BIOS (surtout horodatage (RTC/CMOS)) Prendre des photos de tout (environnement, objets, câbles) Acquisition des données (matériels pro) Authentifier la données (hash, comparer les hashes) # Quels sont les traces qui peuvent être détruite lorsque l'on débranche l'alimentation du PC ? Certaines clés de registres, Des clés de chiffrement, Des paramètres de configuration, Les fichiers ouverts, Les processus, Un malware (si pas de persistence) # Qu'est ce qu'il est important de faire pendant l'acquisition des traçes ? Préserver l'intégrité de celles-ci ## Problématiques du SSD Uniformation d'usure (données déplacées à une nouvelle destination toutes les 5 écritures, détruit la fragmentation, topologie mémoire change constamment) Trim (nettoie l'espace mémoire non-utilisé, lancé par les OS, récupérer les données effacée presque impossible) Performances (prefetch et readyboost peuvent être désactivés) Pas de preuve d'intégrité (hash change en permanence) donc moins de preuve numérique # Comment récupérer les données sur un SSD ? Il est recommandé de favoriser la collecte en direct machine allumée # Comment récupérer les données présentes en mémoire vive après avoir éteint le PC ? dump mémoire %WINDIR%\MEMORY.DMP fichier d'hibernation %SystemDrive%\hiberfile.sys fichier page %SystemDrive%\pagefile.sys # Quelles sont les couches du système de fichier ? Physique, File System Layer, Data Layer, Metadata Layer # A quoi correspond la couche physique ? Le périphérique # A quoi correspond la couche FSL ? Organisation des fichiers (ExFat, FAT12/16:32, NTFS, ReFS) # A quoi correspond la couche données Aux chunks et aux données # Que ce passe-t-il quand les données sont supprimées ? Elles sont jsute retirer d'un custer du système de fichier (non-alouées, peuvent être écrasés si manque de place) # Qu'est-ce que la Slack Space C'est l'espace libre dans un cluster # A quoi correspond la couche métadonnée ? Table MFT, FAT Directory entry, Nom du fichier, Répertoires # Quelles sont les deux types d'analyse de Malware ? Statique et Dynamique # Comment un Malware peut savoir qu'il est exécuté dans une VM ? Certaines valeurs dans la base de registre, certains services, adresse MAC, noms de répertoire, noms de processus (DLL), mouvement de la souris, espace disque libre # Pourquoi peut-on récupérer les fichiers effacés de la corbeille sur Windows ? Lors de la suppresion d'un fichier, Windows se contente de modifier l'index du fichier # Qu'est que la MFT (Master File Table) ? En NTFS : tous les fichiers, répertoires, ... sont stockées comme méta-données dans la MFT # Quel genre de méta-données existent sur un fichier/répertoire ? Nom, Date de création, permission d'accès ACL, taille # Qu'est-ce que la base de registre Windows ? C'est la configuration de windows organisé en ruche accessible via différentes clés (HKEY...) # Quel est l'objectif du ShadowCopy (Windows) ? Sauvegarder automatiquement les fichiers ou disques de manière transparente ## Comment trouver un mot de passe Windows ? Depuis le dump mémoire du processus lsass.exe En bruteforcant le hash de la base SAM En le demandant à l'utilisateur En le trouvant dans un fichier effacé # A quoi sert Volatility ? Naviguer dans un dump mémoire # Quel est le filesystem de mac ? HFS (hierachical file system) # Quel sont les filesystem utilisé par Linux ? EXT3/4, XFS, BTRFS # Comment trouver la clé de déchiffrement d'un disque dur ? Depuis le dump mémoire, en lé récupérant dans la puce CMOS ou autre endroit physique, en le demandant à l'utilisateur # Quels fichiers sont intéressant pour un investiguateur sous Linux ? .bashrc /var/log ## périphériques réseaux HUB IDS Pare-feu Routeur Serveur DHCP Serveur DNS Serveur Proxy Serveur SMTp Serveur Web Switch # A quoi correspond le format de fichier pcap ? oacket capture ## Modèle OSI 7 - Application 6 - Présentation 5 - Session 4 - Transport 3 - Réseau 2 - Liaison de données 1 - Physique ## Indicateur de compromission Adresse IP Hash MD5 Mutex Nom de domaine Nom de fichier URL ## Extraire les données d'un téléphone Android Retirant la puce du smartphone (en dernier recours) JTAG Logique en copiant les fichiers accessibles Physique en acquérant l'uimage du backup # Comment sont sandboxer les applications sous Android ? Ring 3 - Apps, Ring 0 - Système, Hardware # Quel genre d'application un investiguateur est amené à analyser ? APK (javas) # Clés de registres # D:\Windows\System32\config\SYSTEM HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation HKLM\ControlSet001\Control\ComputerName\ComputerNam HKLM\System\ControlSet\Control\Windows # SAM HKLM\SAM\SAM\Domains\Account\Users # SOFTWARE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList HKLM\SOFTWARE\Clients\Mail HKLM\SOFTWARE\Classes\mailto\shell\open\command HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion Microsoft\Windows\CurrentVersion\Uninstall Wow6432\Microsoft\Windows\CurrentVersion\Uninstall # Filesystem Program Files Windows\inf\setupapi.dev.log Windows\System32\config\SYSTEM Users\informant\NTUSER.DAT *Courages les DOZOs* Lien kahoot : https://filebin.net/o7nzdaif3gohx0xl/forensikKahoot.pdf?t=jrjm2sgr