Logo CyberPath
CTF

TryHackMe - Monday Monitor

Investigation d'une attaque sur un endpoint avec Wazuh et Sysmon. Analyse de logs, détection de persistence et exfiltration de données.

1 janvier 2026
TryHackMe
WazuhSysmonSIEMEndpointLog AnalysisDFIR

Dashboard Wazuh
Dashboard Wazuh

Introduction

Swiftspend Finance nous engage pour analyser les logs de leur endpoint suite à des tests de sécurité. L'objectif : identifier les activités suspectes entre 12:00 et 20:00 le 29 avril 2024.

Outils utilisés :

  • Wazuh (SIEM)
  • Sysmon (System Monitor)

Question 1 : Fichier téléchargé

Initial access was established using a downloaded file. What is the file name saved on the host?

On cherche une commande de téléchargement PowerShell (Invoke-WebRequest). Le paramètre -OutFile indique le nom du fichier sauvegardé.

Réponse : SwiftSpend_Financial_Expenses.xlsm

Question 2 : Commande Scheduled Task

What is the full command run to create a scheduled task?

On recherche schtasks.exe ou scheduler dans les logs. C'est l'outil Windows pour créer des tâches planifiées (persistence).

Commande schtasks
Commande schtasks

Réponse : \"cmd.exe\" /c \"reg add HKCU\\SOFTWARE\\ATOMIC-T1053.005 /v test /t REG_SZ /d cGluZyB3d3cueW91YXJldnVsbmVyYWJsZS50aG0= /f & schtasks.exe /Create /F /TN \"ATOMIC-T1053.005\" /TR \"cmd /c start /min \\\"\\\" powershell.exe -Command IEX([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String((Get-ItemProperty -Path HKCU:\\\\SOFTWARE\\\\ATOMIC-T1053.005).test)))\" /sc daily /st 12:34\"

Question 3 : Heure d'exécution

What time is the scheduled task meant to run?

L'heure est dans la commande schtasks trouvée à la question précédente, paramètre /ST.

Réponse : 12:34

Question 4 : Données encodées

What was encoded?

On cherche des chaînes Base64 ou des commandes PowerShell encodées (-EncodedCommand).

Decodage Base64
Decodage Base64

Réponse : ping www.youarevulnerable.thm

Question 5 : Mot de passe du nouvel utilisateur

What password was set for the new user account?

On recherche net user dans les logs. Cette commande permet de créer des utilisateurs Windows.

Réponse : I_AM_M0NIT0R1NG

Question 6 : Outil de dump credentials

What is the name of the .exe that was used to dump credentials?

On cherche des outils connus : mimikatz, procdump, lsass, etc. Ou des processus accédant à lsass.exe.

Réponse : memotech.exe

Question 7 : Flag exfiltré

Data was exfiltrated from the host. What was the flag that was part of the data?

On cherche des connexions réseau sortantes suspectes ou des commandes d'exfiltration (curl, Invoke-WebRequest, url, etc.).

Flag exfiltré
Flag exfiltré

Réponse : THM{M0N1T0R_1$_1N_3FF3CT}

Analyse de l'attaque (Kill Chain)

ÉtapeTechnique MITREObservation
Initial AccessT1105 - Remote File CopyFichier téléchargé
PersistenceT1053 - Scheduled TaskTâche planifiée créée
Credential AccessT1003 - Credential DumpingOutil de dump
ExfiltrationT1041 - Exfiltration Over C2Flag exfiltré

Conclusion

Ce challenge montre une attaque complète sur un endpoint Windows :

  1. Accès initial via un fichier malveillant
  2. Persistence avec une tâche planifiée
  3. Vol de credentials avec un outil de dump
  4. Exfiltration des données

Points clés pour la détection :

  • Surveiller les processus (Sysmon Event ID 1)
  • Alerter sur les scheduled tasks suspectes
  • Détecter les accès à lsass.exe

Références

Pratiquer sur CyberPath