Contexte
Dans ce challenge, nous incarnons un analyste forensique chargé d'investiguer le poste d'un employé suspecté d'avoir exfiltré des données confidentielles. Une image disque au format E01 a été réalisée et nous devons l'analyser avec Autopsy pour répondre à une série de questions.
Objectifs :
- Extraire les informations système
- Analyser les comptes utilisateurs et leurs activités
- Identifier les outils malveillants présents
- Retrouver les traces d'exploitation
Environnement
- Outil principal : Autopsy 4.18.0
- Image disque : Format E01 (Expert Witness Format)
- OS analysé : Windows
Question 1 : MD5 Hash de l'image E01
What is the MD5 hash of the E01 image?
Pour vérifier l'intégrité de l'image, on consulte les métadonnées dans Autopsy :
Data Sources → Right click on image → View Summary Information → Container
Réponse : 3f08c518adb3b5c1359849657a9b2079
💡 Le hash MD5 garantit que l'image n'a pas été altérée depuis son acquisition.
Question 2 : Nom du compte ordinateur
What is the computer account name?
On trouve cette information dans les artefacts système :
Results → Extracted Content → Operating System Information
Réponse : DESKTOP-0R59DJ3
Question 3 : Liste des comptes utilisateurs
List all the user accounts. (alphabetical order)
On liste les comptes via :
Results → Extracted Content → Operating System User Account
Réponse : H4S4N,joshwa,keshav,sandhya,shreya,sivapriya,srini,suba
Question 4 : Dernier utilisateur connecté
Who was the last user to log into the computer?
Dans la même section, on peut trier par date de dernière connexion :
Results → Extracted Content → Operating System User Account → Trier par "Date Accessed"
Réponse : sivapriya
Question 5 : Adresse IP de l'ordinateur
What was the IP address of the computer?
Il faut la chercher dans le fichier de configuration de l'outil de monitoring réseau Look@LAN :
Data Sources → [Image] → Program Files (x86) → Look@LAN → irunin.ini
On ouvre le fichier .ini et cherche la variable :
LANIP = [ADRESSE IP]
Réponse : 192.168.130.216
Question 6 : Adresse MAC
What was the MAC address of the computer? (XX-XX-XX-XX-XX-XX)
Dans le même fichier de configuration Look@LAN :
Data Sources → [Image] → Program Files (x86) → Look@LAN → irunin.ini
Cherche la variable :
LANNIC = [ADRESSE MAC]
Réponse : 08-00-27-2c-c4-b9
Question 7 : Nom de la carte réseau
What is the name of the network card on this computer?
On cherche dans le registre SOFTWARE :
Data Sources → [Image] → Windows → System32 → config → SOFTWARE
Puis navigue vers :
SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards\2
La valeur Description contient le nom de la carte réseau.
Réponse : Intel(R) PRO/1000 MT Desktop Adapter
Question 8 : Outil de monitoring réseau
What is the name of the network monitoring tool?
En explorant les programmes installés, on trouve un outil de monitoring dans Program Files :
Data Sources → [Image] → Program Files (x86) → Look@LAN
Réponse : Look@LAN
Question 9 : Coordonnées Google Maps
A user bookmarked a Google Maps location. What are the coordinates of the location?
On analyse les bookmarks des navigateurs :
Results → Extracted Content → Web Bookmarks
On recherche les URLs contenant google.com/maps avec des coordonnées (format @XX.XXXXX,YY.YYYYY).
Réponse : 12°52'23.0"N 80°13'25.0"E
Question 10 : Nom complet sur le wallpaper
A user has his full name printed on his desktop wallpaper. What is the user's full name?
On doit examiner les fichiers wallpaper de chaque utilisateur. Cherche les images de fond d'écran :
Images/Videos → Users → joshwa → AppData → Roaming → Microsoft → Windows → Themes
On visualise les images pour trouver celle avec un nom complet.
Réponse : Anto Joshwa
Question 11 : Premier flag modifié avec PowerShell
A user had a file on her desktop. It had a flag but she changed the flag using PowerShell. What was the first flag?
On cherche dans l'historique PowerShell de l'utilisatrice :
Data Sources → Users → shreya → AppData → Roaming → Microsoft → Windows → PowerShell → PSReadLine → ConsoleHost_history.txt
La commande PowerShell utilisée révélera le flag original (probablement une commande de remplacement de texte).
Réponse : flag{HarleyQuinnForQueen}
Question 12 : Message d'exploit privilege escalation
The same user found an exploit to escalate privileges on the computer. What was the message to the device owner?
Cherche dans les fichiers de l'utilisatrice :
- Desktop
- Documents
- Fichiers texte récents
Ou on utilise la recherche par mots-clés :
Keyword Search → "exploit" / "privilege" / "message"
Réponse : Flag{I-hacked-you}
Question 13 : Outils de hack pour mots de passe
2 hack tools focused on passwords were found in the system. What are the names of these tools? (alphabetical order)
On recherche des outils connus dans les dossiers utilisateurs et Program Files :
Keyword Search → "password" / "mimikatz" / "lazagne"
Ou on explore :
Data Sources → Users → [Username] → Desktop / Downloads
Data Sources → Program Files
Les outils courants : Mimikatz, LaZagne, Hashcat, Cain & Abel, etc.
Réponse : lazagne,mimikatz (format : outil1, outil2)
Question 14 : Auteur du fichier YARA
There is a YARA file on the computer. Inspect the file. What is the name of the author?
Recherche les fichiers avec l'extension .yar ou .yara :
File Search → Extension → yar
Ou :
Keyword Search → "yara" / "rule"
On ouvre le fichier et cherche le champ author dans les métadonnées de la règle.
Réponse : Benjamin DELPY (gentilkiwi)
Question 15 : Archive exploit MS-NRPC (ZeroLogon)
One of the users wanted to exploit a domain controller with an MS-NRPC based exploit. What is the filename of the archive that you found? (include the spaces in your answer)
MS-NRPC fait référence à ZeroLogon (CVE-2020-1472). On recherche dans les documents récents ou avec des mots-clés :
Keyword Search → "zerologon" / "CVE-2020-1472" / "NRPC"
Ou on explore les Recent Documents des utilisateurs :
Results → Extracted Content → Recent Documents
Réponse : 2.2.0 20200918 Zerologon encrypted.zip
Leçons apprises
Artefacts Windows analysés
| Artefact | Localisation | Information |
|---|---|---|
| OS Info | Results → Operating System Information | Nom PC, version OS |
| User Accounts | Results → Operating System User Account | Liste utilisateurs, dernière connexion |
| Network Config | Program Files (x86)/Look@LAN/*.ini | IP, MAC (via outil tiers) |
| Network Card | SOFTWARE\...\NetworkCards | Nom de la carte réseau |
| Web Bookmarks | Results → Web Bookmarks | Sites favoris |
| PowerShell History | Users\*\AppData\...\PSReadLine\ConsoleHost_history.txt | Commandes exécutées |
| Recent Documents | Results → Recent Documents | Fichiers récents |
Techniques forensiques utilisées
- Vérification d'intégrité - Hash MD5 de l'image
- Analyse des artefacts système - Registre, comptes utilisateurs
- Analyse des programmes installés - Outils suspects, monitoring
- Recherche par mots-clés - Exploits, passwords, YARA
- Analyse de l'historique - PowerShell, navigateurs, documents récents
Points clés à retenir
- L'adresse IP/MAC n'est pas toujours dans le registre → chercher dans les logs d'applications tierces
- L'historique PowerShell (
ConsoleHost_history.txt) garde une trace des commandes exécutées - Les fichiers YARA contiennent des métadonnées (author, description, date)
- ZeroLogon (CVE-2020-1472) = exploit MS-NRPC pour compromettre un Domain Controller
Outils utilisés
- Autopsy 4.18.0 - Plateforme forensique open-source
- Registry Viewer (intégré à Autopsy)
- File Viewer - Visualisation des fichiers
Références
Pratiquer sur CyberPath
- Log Analyzer - Analyse de logs système
- Incident Response - Simulation de réponse à incident