25/08/2016
1
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Hacking & Sécurité, Expert :Module :
Les sciences forensiques:L’investigation numérique
25/08/2016
2
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan• Présentation du formateur
• Mes formations sur Alphorm
• Le plan de formation
• Objectifs de la formation
• Publics concernés
• Connaissances requises
• Liens utiles
25/08/2016
3
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Présentation du formateurKondah Hamza• [email protected]
• Consultant & Chercheur en Sécurité informatique
• Microsoft MVP en sécurité des entreprises
• Conférencier
• Mes références :
� Mon profil LinkedIn : https://ma.linkedin.com/in/kondah
� Mon profil Microsoft MVP : https://mvp.microsoft.com/en-us/PublicProfile/5000286?fullName=Kondah Hamza
� Mon Site Web : http://www.kondah.com
� Profil Alphorm : http://www.alphorm.com/formateur/hamza-kondah
25/08/2016
4
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Mes formations sur Alphorm
25/08/2016
5
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Hacking & Sécurité
Réseaux sans fils
Reconnaissance & Scanning
Vulnérabilités web
Vulnérabilités applicatifs
Metasploit
Exploitation
Forensics
Mobile
Reporting
Mise en situation
Contre mesures
Reverse Engineering
Vulnérabilité
réseaux
25/08/2016
6
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan de la formation• Introduction à la formation
• Les sciences Forensiques
• Investigation légale sous Windows
• Investigation légale sous Linux
• Investigation légale USB
• Investigation légale Mobile
• Stéganographie
• Investigation Réseaux
• Autres techniques d'investigation
• Rapports d'investigation
• Conclusion
25/08/2016
7
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Objectifs de la formation• Identifier et analyser les traces laissées lors de l’intrusion dans un
système informatique
• Collecter correctement les preuves nécessaires à des poursuites judiciaires
• Collecter et Analyser des informations à des fins d’investigation
• Bypasser les protections : Pas que de l’analyse finalement ☺
• Tracking
• Retrouver les traces : personnes ou journaux
• Trouver les traces cachées
25/08/2016
8
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Publics concernés
• Pentesteur
• Consultant
• Responsables DSI
• Responsables sécurité SI
• Gendarmerie numérique
• Personne désirant apprendre de nouvelles choses ;)
25/08/2016
9
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Connaissances requises
• Culture IT
• Avoir suivi les deux premiers niveaux
• Conseillés : Avoir suivi tous les niveaux expert
25/08/2016
10
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Déclinaison de responsabilité• Cette formation a pour objectif de vous sensibiliser sur les failles de vos
SI et comment les protéger. Et en aucun cas vous encourage à faire des dégâts matériels ou immatériels à une personne physique ou moral.
• En aucun cas on pourra tenir responsable ni le formateur Hamza KONDAH ni Alphorm directement ou indirectement, des usages directs ou indirects de quelconque qui a suivi ou appliqué les techniques enseignées dans cette formation.
• On vous enseigne comment protéger et pas comment nuire aux autres.
25/08/2016
11
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Let’s Rock ? ☺
25/08/2016
12
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
La mise en situation de la formation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
25/08/2016
13
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Définition du forensique
•Statistiques
•Aspects de la sécurité organisationnelle
25/08/2016
14
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Définition du forensique• Le forensique consiste à appliquer la science (dans ce cas, des
techniques informatisés) pour des fins de recherches légales suite à un incident ou crime.
• Méthodologie de techniques et procédures pour la récupération de preuves
• Investigation
• Preuves légalement valides
• Orientation Ethique
• Techniques utilisées par les Hackers
25/08/2016
15
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Statistiques
25/08/2016
16
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Aspects de la sécurité organisationnelleSécurité IT
• Application, Antivirus, Réseaux …
Sécurité Physique
• Personnes physique, Sécurité biométrique …
Sécurité Financière
• Fraude, Botnets, Phishing
Sécurité Légale
• Sécurité nationale, Copyright …
25/08/2016
17
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Mise en situation par rapport au forensique
•Définitions
•Vue globale
•Maintenant passons aux détails ☺
25/08/2016
18
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Forensique des temps modernes
Introduction à la formation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
25/08/2016
19
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Historique
• Objectifs du forensique
• Pourquoi on a besoin du forensique?
• Cyber crime
• Types de cyber crime
25/08/2016
20
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Une évolution rapide
• Une nécessité par rapport à l’afflue des cyber crimes
• Techniques utilisées par les hackers
• Centre SOC
• Analyse temps réel
• Menaces inconnues � Le forensique devient dès lors une nécessité au sein des grandes structures
25/08/2016
21
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Historique
1984
• Computer Analysis and Response Team (CART)
• Assistance FBI
1993 • Première conférence sur les preuves informatiques
1995• International Organization on Computer Evidence (IOCE)
1998• International Forensic Science Symposium (IFSS)
2000• FBI Regional Computer Forensic Laboratory (RCFL)
25/08/2016
22
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Objectifs du forensique
• Récupération et analyse
• Preuve
• Identification de la source
• Limiter l’impact surtout dans le cas d’une menace inconnue
25/08/2016
23
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Pourquoi on a besoin du forensique ?
Protéger une organisation
Tracking
Disposition de preuves
Préserver
l’intégrité
Préserver le bon
fonctionnement du SI
Arrêter une attaque
silencieuse
25/08/2016
24
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Cyber crime• Terme désigné pour définir une activité criminelle où les ordinateurs et
les réseaux sont utilisés comme des outils pour cette dernière
• Crime où la machine contient les preuves nécessaires
• Ceci n’est pas une liste exhaustive
• accidentel et non accidentel
• Challenges � Rapidité + Anonymat + Nature de la preuve
• La menace peut être interne comme externe
25/08/2016
25
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Types de cyber crime• Cyber Stalking
• Phishing
• Spoofing
• Fraude
• Email Bombing
• Malwares � Meilleur exemple : Cryptolocker
• DoS
25/08/2016
26
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Evolution des temps modernes
•Cyber crime
•Pourquoi on a besoin du forensique?
•Compréhension
•Orientation
25/08/2016
27
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction au chapitre sur les sciences forensiques
Les sciences Forensiques
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
25/08/2016
28
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Recherches
25/08/2016
29
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• En vue de l’évolution continue des techniques de cyber attaques, les
sciences forensiques sont devenues une obligation
• Aussi bien pour des institutions judiciaires que pour les centres SOC en passant par les entreprises qui ont une activité orientée digitale
• Etude de cas : Fraude
• Institution étatique : A ne pas discuter ☺
• Analyse de malware
• La bulle smartphone
25/08/2016
30
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Recherches
25/08/2016
31
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction au chapitre sur les sciences forensiques
25/08/2016
32
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Processus de forensique
Les sciences Forensiques
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
25/08/2016
33
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan• Introduction
• Investigation de crime informatique
• Avant l’investigation
• Construire un lab
• Structurer son équipe
• Revoir les lois
• Remonter l’information
• Analyse du risque
• Construire sa boite à outils
• Méthodologie d’investigation
25/08/2016
34
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Approche méthodologique
• Il faut obligatoirement structurer son approche
• Le processus de forensique qu’on va découvrir est une vue globale et générale et peut être customisé selon votre situation, approche et besoin.
25/08/2016
35
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Investigation de crime informatique
Déterminer si un
incident a eu lieu
Trouver et interpréter
les évidences
Conduire une
recherche de preuves
Recherche et analyse
de l’équipement
Collecte des preuves
25/08/2016
36
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Avant l’investigation• Construire un lab
• Structurer son équipe
• Revoir les lois
• Remonter l’information
• Analyse du risque
• Construire sa boite à outils
• Définir la méthodologie
25/08/2016
37
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Construire un lab• Définition des besoins
• Benchmarking
• Doit comporter quelques points importants :
� Duplication des disques
� Analyse des fichiers
� Support USB
� Isolation
25/08/2016
38
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Structurer son équipe• L’équipe doit contenir le moins de personnes possibles
• Définir la personne responsable de la réactivité face à un incident
• Suivis ( SCRUM )
• Définir les responsabilités et partenariat externe (Expert, Fiduciaire, Analyse d’incident, Chef d’équipe)
• Définir le « Lead »
25/08/2016
39
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Revoir les lois• Comprendre les lois en vigueur
• Lois concernées : CCPA,CCPA,PATRIOT ACT …
• Meilleures pratiques
• Confidentialité
25/08/2016
40
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse du risque• Identification de l’incident et de la cause
• Classifier le risque
• Déterminer les dégâts � Dans ce cas, on peut définir des plans de recovery pour d’éventuels nouveaux dégâts
• Déterminer la surface affectée
• Arrêter la communication selon la surface affectée
25/08/2016
41
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Construire sa boite à outils
25/08/2016
42
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodologie d’investigation
25/08/2016
43
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert• Processus d’investigation
• Etapes élémentaires
• Customisation
• Récursivité
• Bien penser sa stratégie (aussi bien structurer le personnel, moyenne ou grande)
25/08/2016
44
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Preuve Digitale
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Les sciences Forensiques
25/08/2016
45
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Obstacles
• Pourquoi ce besoin ?
• Caractéristiques
• Approche Anti-Digital Forensics (ADF)
• Lab : Disposition ADF
25/08/2016
46
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Preuve digitale dites vous ?
• Qu’elles sont ces types de données ?
• N’importe qu’elle information avec une valeur approbative
• Extraction d’informations, duplication de données etc …
� Enregistrement
� Logs
� Emails
� Word et compagnie
25/08/2016
47
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Obstacles
• Preuves non formalisées
• Données altérées
• Ambiguïté
• Tout est relatif !
25/08/2016
48
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Pourquoi ce besoin ?
• Etablir des liens
• Principe de Locards «Anyone or Anything,entering a crime scene takes something of the scene with them ,and leavessomething of themeselves behind when they leave »
• Un exemple me dites vous ?
25/08/2016
49
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Caractéristiques
• Admissible
• Authentique
• Complète
• Compréhensible
• Pas de doute !
• Différentiation des types : Volatile, Non volatile, Transitoire,Fragile
• Pensez processus d’examination de preuves
25/08/2016
50
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Approche Anti-Digital Forensics (ADF)• Approche pour manipuler et exploiter les données
• Rend l’analyse forensique difficile , longue et quasi impossible
• Pourquoi une approche pareille ?
• Un hacker peut aussi bien exploiter une analyse contre vous ☺
• Comme quoi on joue sur les deux flans ☺Wiping
Exploitation Bugs
ObfuscationCacher les données
25/08/2016
51
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Disposition ADF
25/08/2016
52
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Preuve digitale
•Caractéristiques
•Approche ADF
25/08/2016
53
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Procédure “First Responder”
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Les sciences Forensiques
25/08/2016
54
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Rôles du First Responder
•La volatilité … Pourquoi ?
•Mise en Situation
25/08/2016
55
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Qu’est ce qu’un « First Responder »
• Le premier arrivé sur la scène du crime � Le système
• Administrateur réseau ou responsable de la sécurité du SI …
• Ensemble de responsabilités
• Rôle primordial
• C’est aussi un ensemble d’outils
• Pourquoi ?
� Une meilleure compréhension + Bonne Analyse + Output
25/08/2016
56
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Rôles du First Responder
Identifier les faits
Protéger le système
(Isolation)
Préserver les preuves ( Les
Logs par exemples)
Collection des différentes
informations
* Smartphones
* Cartes
* USB
* Ordinateurs
* Disques durs
Etiqueter les différents éléments
(Checklist , Permissions
etc…
)
Possibilité de déplacer les différents éléments
25/08/2016
57
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
La volatilité … Pourquoi ?
Registres, Cache
Table de Routage, Kernel,
Mémoire
Fichiers temporaire
s
Disques Durs
Monitoring
Configuration
physique et réseau
Archive Media
25/08/2016
58
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Mise en Situation• Si l’ordinateur est allumé :
� Enregistrer les programmes en cours
� Photographier la scène
� Ne rien toucher !
• Si l’ordinateur est éteint :
� Surtout pas l’allumer �
• Cas Réseau :
� Enlever le câble réseau du routeur/switch� Identifier les machines connectées « Directement » � Enlever les différents câbles
25/08/2016
59
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Procédure First Responder
•Etape Cruciale
• Je souligne procédure !
25/08/2016
60
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Préparation du Lab
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Les sciences Forensiques
25/08/2016
61
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Comment planifier la mise en place de son Lab ?
• Types d’investigations
• Choix Hardware
• Choix Software
• Architecture
• Lab : Mise en Place du Lab
25/08/2016
62
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Votre lab est votre ami !
• Il faut bien penser sa stratégie par rapport à l’instauration de votre lab
• Le budget est aussi un point primordial dans votre stratégie et « selon vos besoins » � Il existe plusieurs moyens vous permettant d’automatiser � Parfois la faciliter
• Si vous êtes professionnel � Pensez sécurité physique de votre lab
25/08/2016
63
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Comment planifier la mise en place de son Lab ?
• Il faut se poser les bonnes questions
• Qu’elle types d’investigations vont être conduites ?
• Les workstations à utiliser
• Mesure contre coupure de courant
• Documentation
• Stockage sécurisé
• La nature du lab
25/08/2016
64
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Types d’investigations
• Vol d’identité
• Intrusion dans un réseau/système
• Fraude en ligne
• Fraude : Carte bancaire
• En gros, tous les secteurs sont touchés
25/08/2016
65
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Choix Hardware
25/08/2016
66
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Choix Software
• Identifier les besoins
• Analyse d’images
• Logiciel d’analyse de fichiers et de documents
• Logiciel de monitoring
• Analyse de la mémoire
• Logiciel de conversion
• Utilitaires de Sécurité
25/08/2016
67
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Architecture
25/08/2016
68
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Mise en Place du Lab
25/08/2016
69
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Compréhension de l’importance du lab
•Structuration des objectifs
•Mise en place des éléments de base de notre lab
25/08/2016
70
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Acquisition des données
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Les sciences Forensiques
25/08/2016
71
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Format d’acquisition
• Pourquoi créer une image?
• Méthodes d’acquisition
• Données volatiles
25/08/2016
72
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• L’acquisition des données est le processus de récupération d’images
• Obtention des informations d’un équipement digital
• Il existe deux types d’acquisitions :
1. Statique
2. Temps réel
• Sécurisation et collecte d’information !
� Ne jamais oublier les procédures forensiques
� Combinaison d’outils � Réseau, Périphériques, Boards
25/08/2016
73
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Format d’ acquisition
• Il existe trois formats d’acquisitions :
1. RAW
2. Propriétaire
3. AFF : Advanced Forensics Format
25/08/2016
74
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Pourquoi créer une image ?
• La scène du crime doit être protégée
• Préserver les preuves originales
• Altération
• Perte
• Pas de one shot
25/08/2016
75
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodes d’acquisition
• Bit-Stream � Image
• Bit-Stream � Disque
• Acquisition logique
• Quoi choisir ? Selon vos besoins ☺ � Et votre budget surtout
25/08/2016
76
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Données volatiles
• L’acquisition de données volatile est extrêmement importante
• Données hors prix
• Processus
• Mots de passes
• Ims
• Trojans
25/08/2016
77
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Acquisition de données
• Prochaine étape ?
25/08/2016
78
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à l'investigation légale sous Windows
Investigation légale sous Windows
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
25/08/2016
79
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction à l’investigation légale sous Windows
25/08/2016
80
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• L’investigation sous Windows est l’un des points les plus nécessaires
• Une bonne compréhension des systèmes de fichiers est nécessaire
• Windows reste l’OS le plus accessible et donc le plus utilisé dans le marché
• Lors de ce chapitre on va essayer d’approfondir nos connaissances pour l’analyse d’images acquises lors du chapitre précédents.
• De l’analyse mais aussi de l’attaque !
• Extraction de données massives ☺
25/08/2016
81
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction à l'investigation légale sous Windows
25/08/2016
82
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Systèmes de fichiers
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
83
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• NTFS
• Avantages NTFS
• Lab : Systèmes de fichiers
25/08/2016
84
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• FAT : File Allocation Table
� FAT12
� FAT16
� FAT 32
• Depuis le DOS
• Table d’allocations
• Standard � simple et robuste
25/08/2016
85
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
NTFS• NTFS est le système de fichiers standard de Windows NT, y compris ses
versions ultérieures de Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 et Windows 8 et 10.
• Le NTFS est destiné à être utilisé sur des lecteurs avec le système Windows (disques durs et SSD).
• NTFS dispose de plusieurs améliorations par rapport au FAT, telles que l'amélioration du support des métadonnées et l'utilisation de structures de données avancées pour améliorer la performance, la fiabilité et de l'utilisation de l'espace disque, ainsi que d'autres extensions telles que la sécurité des listes de contrôle d'accès et de système de fichiers journalisé.
25/08/2016
86
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Avantages NTFS
• Compression• Cryptage• Autorisations d'accès et niveaux de permissions aux répertoires et aux
fichiers• Gestion de quotas de disque• Points de montage• Stockage étendu (partitions de plus de 2 TO). • Fichier de grande taille ( jusqu'à la taille de la partition entière au lieu
d'un maximum de 4 GO en FAT32)• Sécurité• Fiabilité• Performances
25/08/2016
87
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab:Systèmes de fichiers
25/08/2016
88
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Systèmes de fichiers
•NTFS
•Windows
25/08/2016
89
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Création d'une image
Investigation légale sous Windows
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
25/08/2016
90
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Création d’une image
25/08/2016
91
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• La création d’image est une des étapes les plus cruciales
• Utilisation d’outils professionnels ou bien d’applications dédié
• Mémoire ou bien disque
• Copie dans un disque dur en mode read only
• Disque dur Backup
25/08/2016
92
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Création d’une image
25/08/2016
93
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Création d’une image sous windows
25/08/2016
94
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Collecte d'information volatile
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
95
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Collecte d’information volatile
25/08/2016
96
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• La collecte d’informations volatiles est un des points les plus importants
du processus de forensique
• Les informations volatiles sont souvent ceux qui ont le plus de valeurs
• Exemple d’informations :
� Interfaces réseaux
� Services
� Processus
� Presse papier
� …
25/08/2016
97
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Collecte d’information volatile
25/08/2016
98
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Collecte d’information volatile
•Outils
•Que faire ? Astuce : Netcat
25/08/2016
99
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse de la mémoire
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
100
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Structure
• Volatility Framework
• Lab : Analyse de la mémoire
25/08/2016
101
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Le dump de la mémoire contient des informations capables de retracer la véritable cause d’une panne ou les traces d’un hacker etc…
• Cela permet aussi de récupérer les différentes informations cités dans les vidéos précédentes : Réseau, Logs …
• L’analyse de la mémoire qu’on va découvrir se base sur l’exploitation d’une image acquise via les méthodes citées dans la vidéos précédente
•
25/08/2016
102
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Structure
25/08/2016
103
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Volatility Framework• Collection d’outils
• Python
• Extraction de la mémoire
• Dump de la RAM
• Plateforme recherche forensique
• Puissant, précis et rapide
25/08/2016
104
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Systèmes d’exploitations supportés
25/08/2016
105
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse de la mémoire
25/08/2016
106
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Analyse
•Structuration
•Attaque ☺
25/08/2016
107
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse des registres
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
108
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Analyse des registres
25/08/2016
109
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Un administrateur peut interagir avec les registres à travers des
programmes intermédiaires
• Interface GUI : Regedit.exe
• 7 pincipaux dossiers
25/08/2016
110
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse des registres
25/08/2016
111
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Importance des registres
•Navigation
•Exploitation
25/08/2016
112
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Navigateurs : La mine d'or
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
113
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Navigateurs : La mine d'or
25/08/2016
114
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Les navigateurs peuvent contenir toutes les informations nécessaires
pour retracer l’activité d’un hacker, victime, ou autre
• Les fichiers parlent tous seuls ☺
• Possibilité d’utilisation d’outils automatisés
• Pour les fans de Meterpreter � Modules intégrés
25/08/2016
115
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Forensique navigateurs
25/08/2016
116
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Navigateurs : La mine d'or
•Techniques forensiques navigateurs
25/08/2016
117
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Hash
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
118
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Hash
25/08/2016
119
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• L'algorithme MD5, pour Message Digest 5, est une fonction de hachage
cryptographique
• Permet d'obtenir l'empreinte numérique d'un fichier.
• L'utilisation de cette fonction de hachage dans les signatures numériques peut conduire à de multiples scénarios d'attaque et n'est plus considérée comme un composant fiable de l'infrastructure à clés publiques.
• Le calcul de la « signature » d'un fichier reste plutôt fiable, même si l'on ne peut pas assurer qu'il y a une unicité entre l'empreinte calculée et le fichier ou message source
25/08/2016
120
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Hash
25/08/2016
121
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Notion de hash
• Importance Hash
•Calcul Hash
25/08/2016
122
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Métadonnées
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
123
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Types de Métadonnées
• Lab : Métadonnées
25/08/2016
124
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Le mot signifie proprement « donnée de/à propos de donnée »)
• Une donnée servant à définir ou décrire une autre donnée quelle que soit son support
• Exemple : Nom d’auteur, nom du réseau, Objets OLE…
• Importance :
� Informations cachées à propos du document
� Qui tente de supprimer, cacher ou altérer les données
� Corrélation
25/08/2016
125
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Types de Métadonnées
• Il existe trois types de métadonnées :
� Métadonnées Descriptives
� Métadonnées Structurelles
� Métadonnées Administratives
25/08/2016
126
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
25/08/2016
127
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Métadonnées
25/08/2016
128
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Définition
• Importance
•Pratique ☺
25/08/2016
129
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Logs
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
130
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Ce qu’on va découvrir?
• Lab : Logs
25/08/2016
131
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Les journaux contiennent une variété d’informations journalières
• Quelques informations sont automatiquement récoltées
• Evènements
• Important
• Accès simple
25/08/2016
132
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on va découvrir
• Structure de données des logs
• Analyse des logs
• Firewall
• Système
• Protocoles (FTP,HTTP …)
25/08/2016
133
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Logs
25/08/2016
134
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Utilité des Logs
•Exploitation des logs pour des fins forensiques
25/08/2016
135
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Bypasser les mots de passe
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Windows
25/08/2016
136
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Bypasser les mots de passe
25/08/2016
137
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Une fois l’ordinateur récupéré, On peut avoir un obstacle assez sérieux
• Le mot de passe de la session !
• Les criminels (Hackers ou autres) oublient soudainement les mots de passe ☺
• Malheureusement pour eux, tout a une solution
• Utilisation d’outils et d’exploits ☺
• Le Forensique ce n’est pas que de la défense et Analyse ;)
25/08/2016
138
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Formation Hacking et Sécurité : Avancé
25/08/2016
139
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Bypasser les mots de passe
25/08/2016
140
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Bypasser les mots de passe
•Exploits et outils de Bruteforcing
25/08/2016
141
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à l'investigation légale sous Linux
Investigation légale sous Linux
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
25/08/2016
142
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction à l'investigation légale sous Linux
•Ce qu’on va découvrir
25/08/2016
143
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Ne jamais oublier les phases :
1. Préservation
2. Analyse
3. Reconstitution
• Le forensique sous linux est tout aussi important que sous Windows
• Plusieurs systèmes critiques tournent sous Linux
• Plusieurs incidents aussi …
25/08/2016
144
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on va découvrir
• Analyse des besoins
• Acquisition de données
• Récupération et analyse de logs
• Analyse de mémoire
• Bypasser les mots de passe
• LiME
• Et d’autres surprises … =)
25/08/2016
145
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction chapitre d’investigation légale sous Linux
25/08/2016
146
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Systèmes de fichiers
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
147
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Structure
25/08/2016
148
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Comme pour Windows, la bonne compréhension des systèmes de
fichiers est nécessaire afin de réaliser l’efficience
• Les systèmes de fichiers jouent exactement le même rôle que ces index : organiser les fichiers de votre ordinateur sur votre disque dur de façon à pouvoir les retrouver lorsque vous en aurez besoin
• FS les plus connus :
•Ext2fs
•Ext3fs
•Ext4fs
25/08/2016
149
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Structure d’un FS
25/08/2016
150
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Compréhension systèmes de fichiers
•Analyse
25/08/2016
151
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Quelles données collecter ?
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
152
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Données à collecter
25/08/2016
153
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Tout au long des formations qu’on a pu suivre ensemble,
on a pu découvrir à quel point la structuration des connaissances est importante
• En allant vers ce sens, il est très important de pouvoir structurer les différentes informations nécessaires à trouver, afin de ne pas perdre du temps et de gagner en efficacité
• Ce processus entre dans l’ingénierie organisationnelle
25/08/2016
154
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Données à collecter• Informations relatives au temps
• Interfaces réseaux
• Connexions
• Ports
• Services
• Fichiers
• Modules du Kernel
• …
25/08/2016
155
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Quelles données collecter ?
•Pourquoi les collecter ?
• Ingénierie organisationnelle
25/08/2016
156
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Processus forensiqueLinux
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
157
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Points importants
25/08/2016
158
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
25/08/2016
159
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Points importants • Compréhension : FS, Fonctionnement, Boot …
• Débogage
• Importance de la structuration des connaissances
• Les procédures et processus peuvent changer selon vos besoins
25/08/2016
160
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Processus
•But
• Importance de la méthodologie
25/08/2016
161
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Création d'une image
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
162
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
•Méthodes d’acquisition du disque
•Méthodes d’acquisition de la mémoire
•Acquisition à froid
• Lab : Création d'une image
25/08/2016
163
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodes d’acquisition du disque
•Formats d’images :
• Raw
• Propriétaire incluant les métadonnées
• Propriétaire avec les métadonnées séparément
• Raw avec un hash
25/08/2016
164
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodes d’acquisition de la mémoire
• Deux méthodes d’acquisition :
1. Méthode difficile :
� http://hysteria.sk/~niekt0/foriana/fmem_current.tgz
� Même principe que /dev/mem � /dev/fmem
� Image Raw
25/08/2016
165
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodes d’acquisition de la mémoire
2. Méthode facile :
� Linux Memory Extractor
� Build pour un Kernel spécifique
25/08/2016
166
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Acquisition à froid• Cool Boot Attack
• Attaque très intéressante
• Informations fraiches
• Pas de possibilités d’extraction via Volatility ou autre
• https://www.ethicalhacker.net/features/root/using-cold-boot-attacks-forensic-techniques-penetration-tests
25/08/2016
167
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Création d'une image
25/08/2016
168
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Types d’images
•Création d’images
•Pensez à des HD puissants et sécurisés
25/08/2016
169
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lime
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
170
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Lime
25/08/2016
171
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Linux Memory Extractor (LiME)
• Build spécifique à un Kernel spécifique
• Ubuntu : apt-get install lime-forensics-dkms
• Repo Github : https://github.com/504ensicsLabs/LiME
• Format :
• Raw
• Padded
• Lime
25/08/2016
172
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Lime
25/08/2016
173
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Lime
•Exploitation de l’acquisition via Lime
•Le temps de l’analyse est arrivé
25/08/2016
174
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse de la mémoire
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
175
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Analyse de la mémoire
25/08/2016
176
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Analyse de la mémoire
• Exploitation de volatility
• Puissance et efficacité
• Semblable à l’analyse de la mémoire sous Windows
• Combinaison parfaite avec LiME ☺
25/08/2016
177
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse de la mémoire
25/08/2016
178
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Analyse de la mémoire sous linux
•Volatility
25/08/2016
179
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Récolte d'informations
volatiles
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
180
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Récolte d'informations volatiles
25/08/2016
181
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Comme on a pu le voir auparavant, mais aussi pour les prochaines
vidéos, les informations volatiles sont une mine d’or à ne pas négliger
• Le but étant d’exploiter au maximum ces informations
• Les journaux doivent surtout répondre aux besoins en terme d’informations à récolter
• Vous pourrez remarquez que tout au long de la formation, il y a des informations complémentaires ☺
25/08/2016
182
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Récolte d'informations volatiles
25/08/2016
183
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Récolte d'informations volatiles
25/08/2016
184
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse de fichiers
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
185
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Analyse de fichiers
25/08/2016
186
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Suite à la création de l’image � « mount », nous allons pouvoir commencer l’analyse des différents éléments
• Pendant cette vidéo, nous allons analyser les différents fichiers
• Exploitation d’outils
• De l’investigation ☺
25/08/2016
187
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse de fichiers
25/08/2016
188
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Analyse de fichiers
• Investigation ohhh investigation ^^
25/08/2016
189
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Mesures post exploitation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
190
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Mesures post exploitation
25/08/2016
191
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Suite à l’exploitation que peut ont faire d’orienté Forensique?
• Récupération des informations des registres
• Dump de processus
• Dump de la mémoire
25/08/2016
192
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Mesures post exploitation
25/08/2016
193
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Mesures post exploitation
25/08/2016
194
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Bypasser les mots de passe
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale sous Linux
25/08/2016
195
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Bypasser les mots de passe
25/08/2016
196
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Point clé lors de l’analyse
• Passer par la grande porte
• Plusieurs techniques
• Etre le plus malin aussi peut jouer un grand rôle ☺
• Let’s find the Hash ☺
25/08/2016
197
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Bypasser les mots de passes
25/08/2016
198
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Bypasser les mots de passe
•Plusieurs techniques ☺
•Point clé
25/08/2016
199
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à l’investigation légale USB
Investigation légale USB
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
25/08/2016
200
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Analyse initiale des données USB
25/08/2016
201
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Les clés USB sont une mine d’or pour toute personne pratiquant le forensique
• Point fort � Flux de données dynamique
• Les données ne sont jamais vraiment supprimées � On en a parlé lors du chapitre introductif sur la formation
• Transport de données � Données importantes
25/08/2016
202
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse initial données USB
25/08/2016
203
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction à l’investigation légale USB
25/08/2016
204
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Création d’une image
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale USB
25/08/2016
205
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Snapshot USB
25/08/2016
206
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Effectuer un snapshot est un point des plus importants comme cité tout
au long de la formation
• Prendre un Snapshot est une étape qui peut prendre du temps
• L’outil utilisé pour la récupération de l’image est : Dc3dd , qui est un outil extrêmement puissant et spécialisé dans le forensique
• L’analyse forensique n’est pas une chose simple, Il faut de la patience, de la motivation et surtout de la compréhension � Revoir bases
25/08/2016
207
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Snapshot USB
25/08/2016
208
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Création d’une image d’un périphérique USB
25/08/2016
209
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Sniffing
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale USB
25/08/2016
210
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Sniffing
25/08/2016
211
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
•Sniffer � Intercepter, écouter
•Ecoute et analyse du Traffic USB
•Analyse
•Comportement
• Wireshark est ton ami ☺
25/08/2016
212
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Sniffing
25/08/2016
213
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Sniffing du traffic USB ;)
25/08/2016
214
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Investigation USB
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale USB
25/08/2016
215
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Forensique USB
25/08/2016
216
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Analyse
• Historique des connexion USB
• Vol de documents
• Infection ☺
• Méthodologie � Encore et toujours
• Bien suivre les étapes
• Le forensique peut s’effectuer sur l’USB en tant que « Disque » ou encore une analyse sur les périphériques
25/08/2016
217
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodologie de forensique USB
Déterminer le vendeur, produit, version
Numéro de serie
VID ET PID
Nom du dispositif
GUID
Utilisateur
Historique
25/08/2016
218
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Forensique USB
25/08/2016
219
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Analyse USB
•Méthodologie d’analyse
•Historique : Très important
25/08/2016
220
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à l'Investigation légale Mobile
Investigation légale Mobile
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
25/08/2016
221
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction à l'Investigation légale Mobile
25/08/2016
222
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Pourquoi le mobile ?
• Quelle est la chose la plus utilisée par une personne ☺ ?
• Quel trésor qui renferme le plus d’informations ☺ ?
• Pendant ce chapitre on va pouvoir découvrir plusieurs points
• Bypass de mots de passes � Point crucial
• Analyse
• Extraction de données
• iOS, Android et WindowsPhone
25/08/2016
223
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction à l'Investigation légale Mobile
25/08/2016
224
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Architecture Mobile
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale Mobile
25/08/2016
225
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Caractéristiques du smartphone
•Architecture d’Android
25/08/2016
226
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Une bonne compréhension de l’architecture est primordiale pour aller « Deeper »
• Différents OS
• Dans notre cas, on va se focaliser sur l’OS mobile le plus utilisé � Android
• Architecture et composants
25/08/2016
227
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Caractéristique smartphone
• Processeur
• Mémoire
• Affichage
• Camera
• Carte réseau
• Batterie
• …
25/08/2016
228
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Système d’exploitation
25/08/2016
229
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
L’architecture d’Android
25/08/2016
230
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Architecture
25/08/2016
231
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Carte SIM
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale Mobile
25/08/2016
232
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• IMEI
• IMSI
•Autres informations
• Lab : Carte SIM
25/08/2016
233
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• La carte SIM est un élément qui contient des informations complètes sur l’abonné
• À manipuler avec précaution
• Facteur d’authentification
• Mémoire non volatile et volatile
• Integrated Circuit Card Identification
• Electronic Serial Number
25/08/2016
234
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
IMEI
• International Mobile Equipement Identifier
• *#06#
25/08/2016
235
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
IMSI• International mobile subscriber identity
• Numéro unique, qui permet à un réseau mobile
d'identifier un usager.
• IMSI Catchers
25/08/2016
236
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Autres informations•Mobile Country Code (MCC) •Mobile Network Code (MNC) •Mobile Subscriber Identification Number (MSIN) •Mobile Station International Subscriber Directory Number (MSISDN) •Abbreviated Dialing Numbers (ADN) •Last Dialed Numbers (LDN) •Short Message Service (SMS) •Language Preference (LP) •Ciphering Key (Kc) •Ciphering Key Sequence Number•Emergency Call Code •Fixed Dialing Numbers (FDN) •Local Area Identity (LAI) •Own Dialing Number•Temporary Mobile Subscriber Identity (TMSI)
25/08/2016
237
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Carte SIM
25/08/2016
238
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•La carte SIM peut être très utile
•Faites attention aux IMSI ☺
25/08/2016
239
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Processus ForensiqueMobile
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale Mobile
25/08/2016
240
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Qu’est ce qu’on cherche?
•Processus forensique mobile
25/08/2016
241
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• L’évolution continue de l’utilisation des smartphones en fait une cible
parfaite pour les hacker
• Malware, Scamming ou autre techniques
• Preuve parfaite
• Complexe � Pas tant que ça
• Comment bien appréhender le forensique mobile ?
• Suivre une méthodologie précise
25/08/2016
242
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Qu’est ce qu’on cherche ?
25/08/2016
243
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Processus forensique mobile
25/08/2016
244
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Compréhension
• Structuration
• Allez droit au but
• Méthodologie
“La méthode, c'est le chemin, une fois qu'on l'a parcouru.” J.Mestre
25/08/2016
245
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Techniques Forensique Mobile
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation légale Mobile
25/08/2016
246
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Santoku
• Lab : Techniques Forensique Mobile
25/08/2016
247
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Nous allons consacrer cette présentation spécialement pour les techniques forensiques mobiles
• Cela peut être des techniques d’analyse ou d’attaque
• Ne jamais oublier la méthodologie !
25/08/2016
248
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Santoku
•Distribution Linux
•Spécialisé dans le forensique mobile
•Analyse de malwares
•Analyse d’applications
•Pentest mobile
25/08/2016
249
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Techniques Forensique Mobile
25/08/2016
250
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Techniques forensique
•Multiple flans d’attaques
•La clé � La pratique ☺
25/08/2016
251
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à la Stéganographie
Stéganographie
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
25/08/2016
252
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Fonctionnement
•En quoi la stéganographie est elle utilisée ?
•Techniques stéganographie
•Types stéganographie
25/08/2016
253
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Techniques pour cacher un message secret au sein d’un message
ordinaire
• Transiter des informations (cryptées ou non) sans attirer l'attention
• La stéganographie date de 1499 avec le traité Steganographie publié par TRITHEMIUS et a pris depuis diverses formes au fur et à mesure de son évolution et de l'ingéniosité de ses utilisateurs
• Stéganographie moderne � Images (format bitmap) ou les fichiers audios
25/08/2016
254
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Fonctionnement
25/08/2016
255
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
En quoi la stéganographie est elle utilisé ?
•Malwares
•Fraude
•Communication entre terroristes
•Paiement électronique
•Authentification
25/08/2016
256
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Techniques de stéganographie
•Substitution
•Transformation
•Spectre
•Fréquence
•Distorsion
25/08/2016
257
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Types de stéganographie
• Image
• Audio
• Video
• Web
• Documents
• Spam/Mail
• Fréquence texte
25/08/2016
258
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction à la Stéganographie
•Types de stéganographie
25/08/2016
259
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Techniques de Stéganographie
Stéganographie
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
25/08/2016
260
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Techniques de stéganographie
25/08/2016
261
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Tout au long de cette vidéo, nous allons pouvoir exploiter différentes
techniques de stéganographie
•Audio
•Image
•Etc …
• Techniques basiques � Utilisation de logiciel dédié
• Techniques avancées � Utilisation de scripts python
25/08/2016
262
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Techniques de stéganographie
25/08/2016
263
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Techniques de stéganographie
•Différents types
•Enjoy =)
25/08/2016
264
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction à l’investigation des réseaux
Investigation des Réseaux
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
25/08/2016
265
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Méthodologie du forensique réseau
25/08/2016
266
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Le forensique au niveau des réseaux consiste à identifier une activité
« criminelle »
• Utilisation de plusieurs techniques : Sniffing, Enregistrement, Analyse…
• Inspection de traffic
• Logs – IDS/NIDS
• Pouvoir récupérer un ensemble d’éléments cruciaux :
� Source
� Technique
� Destination
25/08/2016
267
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Méthodologie du forensique réseau
25/08/2016
268
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
• Introduction forensique des réseaux
•Bien comprendre la méthodologie
•Les techniques ne sont pas tout ;)
25/08/2016
269
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Les attaques réseaux
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation des Réseaux
25/08/2016
270
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Vulnérabilités réseaux
•Types de vulnérabilités
25/08/2016
271
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• La bonne compréhension des attaques est un point important pour une
bonne analyse
• « La meilleure défense est l’attaque »
• Pour une bonne efficience, il faut suivre la formation Vulnérabilités réseaux
25/08/2016
272
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Vulnérabilités réseaux
• Vulnérabilités internes
• Bande passante
• Bottlenecks
• Vulnérabilités externes
• Sniffing
• DoS
• DDoS
25/08/2016
273
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Types de vulnérabilités
Spoofing Sniffing Altération MiTM SHijacking
DoS BO Trojan Malware
Virus Email Ransomware Enumération
25/08/2016
274
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Les attaques réseaux
•Les principales attaques
25/08/2016
275
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Analyse et investigation des réseaux
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation des Réseaux
25/08/2016
276
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Analyse et investigation des réseaux
25/08/2016
277
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Pourquoi l’investigation du réseau ?
• Identification des problèmes
• Identification d’actions malicieuses
• Localisation des attaquants
• Diverse techniques et outils (Wireshark, Sonde, AI, SIEM…)
• Identification via des IDS
25/08/2016
278
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Analyse et investigation réseaux
25/08/2016
279
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert• Analyse et investigation des réseaux
• Outils
• IDS
• IA
• Solution de traçabilité ☺ � Balabit, Wallix …
• Bientôt des formations sur des solutions de traçabilité
25/08/2016
280
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Investigation des réseaux sans fils
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Investigation des Réseaux
25/08/2016
281
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan• Introduction
• Lab : Investigation réseaux sans fils
25/08/2016
282
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• On déjà eu la chance de pouvoir parler des réseaux sans fils
• Investigation sans fils
• Détection d’attaques
• Ne jamais oublier le routeur !
25/08/2016
283
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Investigation réseaux sans fils
25/08/2016
284
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert• Investigation réseaux sans fils
• Attaques
• Détection
• Testez !
25/08/2016
285
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Forensic Toolkit® (FTK®)
Autres techniques d'investigation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
25/08/2016
286
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : FTK
25/08/2016
287
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• FTK : Forensic Toolkit est reconnu mondialement comme standard de forensique
• Plateforme complète, rapide, stable et efficace
• Supporte de grandes quantités de données
• Méthode de recherches avancées
• Analyse heuristique malwares
• Hash
25/08/2016
288
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : FTK
25/08/2016
289
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Découverte et exploitation des options du FTK
25/08/2016
290
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Tracking de l’email
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Autres techniques d'investigation
25/08/2016
291
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Crime via email
• Lab : Tracking de l’email
25/08/2016
292
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• L’investigation sur les emails est un des points les plus importants
• Renferme des données essentielles
• Quand le hacker devient une cible
• Header
• Catch me if you can !
25/08/2016
293
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Crime via mail
• Crime via envoi de mail : spamming, mail bombing…
�Crime supporté par le mail : Blackmailing, fraude, usurpation d’identité..
• Anonymat
• Rapidité
• Facilité
25/08/2016
294
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Tracking mail
25/08/2016
295
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Analyse des emails
•Tracking des emails
•Catch me if you can
25/08/2016
296
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Investigations des attaques web
Autres techniques d'investigation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
25/08/2016
297
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
•Architecture
•Etapes de l’investigation
25/08/2016
298
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
•L’investigation web passe par plusieurs étapes importantes
•Vaut mieux prévenir que guérir ☺
•OWASP
25/08/2016
299
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Architecture
25/08/2016
300
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Etapes de l’investigation • Etape 1 : Localisation des logs
• Etape 2 : Compréhension des logs
• Etape 3 : Analyse des logs
IP_ADDRESS - - [Date_Time Timezone] "HTTPMETHOD /URL HTTP_VERSION" HTTP_RESPONSE_CODE HTTP_LENGHT "REFERER" "USER AGENT"
66.249.75.219 - - [30/Jun/2015:09:17:42 -0400] "GET / HTTP/1.1" 200 255 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.75.219 - - [30/Jun/2015:09:17:42 -0400] "GET / HTTP/1.1" 200 255 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
$ cat access-log |grep -E "wp-admin|wp-login|POST /" | more
25/08/2016
301
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•L’investigation des attaques web
• Inspection des logs des serveurs
25/08/2016
302
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Récupération des données et fichiers supprimés
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Autres techniques d'investigation
25/08/2016
303
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Récupération des données et fichiers supprimés
25/08/2016
304
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction
• Pendant cette présentation, nous allons pouvoir apprendre comment analyser les fichiers supprimés sur un disque
• Analyse des signatures et de l’historique
• Outils automatisés
• Analyse des activités récentes
25/08/2016
305
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Récupération de données et fichiers supprimés
25/08/2016
306
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Récupération des données et fichiers supprimés
•Analyse des activités récentes
25/08/2016
307
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Les rapports d'investigation
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
25/08/2016
308
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan
• Introduction
• Lab : Les rapports d'investigation
25/08/2016
309
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Introduction• Le reporting est un des points les plus importants voir le plus important
comme on a pu le découvrir tout au long de toutes ces formations qu’on a pu voir ensemble
• Le reporting au niveau forensique est spécial
• Le rapport compte plus que tout
• Je vais vous fournir des templates qu’on va analyser ensemble
• On va faire la construction de rapport ensemble
25/08/2016
310
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Lab : Rapports d'investigation
25/08/2016
311
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Ce qu’on a couvert
•Reporting
•Template
•Outils
25/08/2016
312
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Site : http://www.alphorm.comBlog : http://blog.alphorm.com
Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises
Conclusion
25/08/2016
313
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Hacking & Sécurité
Réseaux sans fils
Reconnaissance & Scanning
Vulnérabilités web
Vulnérabilités applicatifs
Metasploit
Exploitation
Forensics
Mobile
Reporting
Mise en situation
Contre mesures
Reverse Engineering
Vulnérabilités
réseaux
25/08/2016
314
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Plan de la formation• Introduction à la formation
• Les sciences Forensiques
• Investigation légale sous Windows
• Environnement Windows
• Investigation légale sous Linux
• Investigation légale USB
• Investigation légale Mobile
• Stéganographie
• Investigation Réseaux
• Autres techniques d'investigation
• Rapports d'investigation
• Conclusion
25/08/2016
315
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Objectifs de la formation• Identifier et analyser les traces laissées lors de l’intrusion dans un
système informatique
• Collecter correctement les preuves nécessaires à des poursuites judiciaires
• Collecter et Analyser des informations à des fins d’investigation
• Bypasser les protections : Pas que de l’analyse finalement ☺
• Tracking
• Retrouver les traces : personnes ou journaux
• Trouver les traces cachées
25/08/2016
316
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Perspectives
Perspectives
25/08/2016
317
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
La Suite • Tester vos compétences (rootme,
NewbieContest, CTF…etc)
• D’autres modules en cours de préparation
• Veille
• Pratique
• Grande surprise : CEHv9 en cours de préparation rien que pour vous ^^
25/08/2016
318
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Déclinaison de responsabilité• Cette formation a pour objectif de vous sensibiliser sur les failles de vos
SI et comment les protéger. Et en aucun cas vous encourage à faire des dégâts matériels ou immatériels à une personne physique ou moral.
• En aucun cas on pourra tenir responsable ni le formateur Hamza KONDAH ni Alphorm directement ou indirectement, des usages directs ou indirects de quelconque qui a suivi ou appliqué les techniques enseignées dans cette formation.
• On vous enseigne comment protéger et pas comment nuire aux autres.
25/08/2016
319
Formation Les sciences forensiques : L’investigation numérique alphorm.com™©
Questions ? Remarques ? Critiques ?
Top Related