Description

École de technologie supérieure
Trimestre :
Département de génie logiciel et des TI
Chargé de cours: Laurent Desaulniers
Professeur :
Automne 2014
Jean-Marc Robert
GTI 719 - SÉCURITÉ DES RÉSEAUX D'ENTREPRISE
LABORATOIRE 3
Description
Selon Wikipedia, la criminalistique (ou Computer Forensics) est l'ensemble des techniques mises en
œuvre par la justice et la police pour établir la preuve d'un délit ou d'un crime et d'en identifier son
auteur. Elle joue donc un rôle important lors de la réponse aux incidents. Toutefois, dans bien des
cas, les techniques de criminalistique ne servent qu’à identifier la cause d’un incident et d’en
déterminer son impact. Dans de tels cas, le spécialiste de sécurité cherche simplement à colmater les
brèches de son système et à éradiquer tout logiciel malveillant. La criminalistique représente donc
une des facettes importantes de la sécurité de l’information. Le cours de GTI719 ne vise pas à faire
de vous des experts en criminalistique, mais cherche à vous familiariser avec ce processus.
Ce laboratoire est en 2 phases. La première phase vise à vous familiariser avec l’analyse de la ram,
tandis que la seconde partie va vous présenter les défis de la rétro-ingénierie de logiciels malicieux
Dans le cadre du laboratoire, l’outil Volatility est suggéré pour répondre à la première moitié du
laboratoire, mais il est possible compléter le laboratoire avec d’autres outils.
Un certain nombre de bonis ont été ajoutés dans le laboratoire. Pour obtenir ces bonis, l’étudiant doit
utiliser des techniques plus avancées de criminalistique.
Instructions:
En équipe de deux, répondez aux questions ci-dessous. Les réponses aux questionnaires seront votre
livrable final pour la correction du travail.
Important: Pour CHACUNE des réponses, vous devez donner la commande utilisée
pour obtenir le résultat, ainsi que le résultat de la commande.
.
GTI719 Automne 2014, Laboratoire #3 v. 1.0
1
Partie 1 : Analyse de la RAM (52 points)
Séance du 10 et 17 novembre
Vous avez fait la capture de la ram d’un poste Window qui est possiblement liée à un incident.
Vous devez donc en faire l’analyse.
1. Validation de l’intégrité (2 points)
1.1 Quel est le md5 du fichier Ram.raw1
1.2 Quel est le sha1 du fichier Ram.raw1
2. Analyse du fichier Ram
2.1 Faite la liste des processus en mémoire. (10 points)
a. Donner la liste des processus
b. Selon vous, est-ce que des processus sortent du commun ou indique une
compromission?
2.2 Quelles sont les connections réseaux? (10 points)
a.
Donnez la liste
b.
Quels sont les ports/destinations distantes intéressantes
2.3 Pour chacun des processus malicieux, identifiez: (10 points)
a.
Le PID du processus malicieux
b.
Le PID du parent (et, si disponible, le nom du processus parent)
c.
L’heure de création du processus
2.4 Est-ce que des processus font de l’injection mémoire (dll injection) (10 points)
a.
Décrivez ce qu’est de l’injection DLL en quelques mots
b.
Quelle(s) commande(s) permet d’extraire les données injectées?
c.
A quel virus est-ce que ces EXE sont associés
2.5 Faites l’extraction du ou des processus malicieux (10 points)
a.
Quel est la commande utilisée pour extraire un processus
b.
Quel est le sha1 du processus extrait
c.
Selon VirusTotal, quel est le virus
GTI719 Automne 2014, Laboratoire #3 v. 1.0
2
Partie 2 : Analyse d’un fichier malicieux (47 points)
Séance du 24 Novembre et 1 décembre
Après l’analyse de la RAM, vous avez obtenu un PDF possiblement lié à la compromission. Le
poste Windows sur lequel le pdf l’a trouvé est Adobe Reader 9.3.1
3. Validation de l’intégrité (2 points)
a. Quel est le sha1 du fichier secret2.pdf
b. Quel est le md5 du fichier secret2.pdf
4. Faite l’analyse du fichier. (35 points)
a. En une demi-page, Décrivez comment fonctionne l’exploit
b. Pour chacun des fichiers intermédiaires, donnez
i. Le script intermédiaire
ii. Une description de ce que fait le script
c. Selon virus total, de quel virus s’agit-il
d. Quelle CVE le PDF exploite-til
5. Quel est le vecteur de l’infection? Quel est le moyen d’infection le plus probable? (5 points)
6. Est-ce que vous avez moyen de prouver que svchost.exe est l’exécutable qui a été exécuté
en mémoire? Si oui, comment? (5 points)
Il y a trois bonis qui sont cachés dans ce laboratoire..
La première équipe qui envoie le boni ainsi que le moyen pour l’obtenir à l’adresse ccldesaulniers AT etsmtl.ca reçoit un bonus de 5 points à la note finale du laboratoire. La
seconde équipe reçoit un bonus de 3 points. Les équipes subséquentes auront un
bonus de 1 point. Un boni est reconnaissable assez facilement; il s’agit d’une chaine
de caractère qui débute contient le mot flag, (ou une variation)
Exemple : « Un-FlAg-N1veau-Quatr3 »
Remise
Le rapport de laboratoire doit être mis au dernier cours (12 décembre). Le rapport sera constitué
d’une introduction et une conclusion (pour 6 points) et des réponses aux questions ci-dessus.
GTI719 Automne 2014, Laboratoire #3 v. 1.0
3

Download Report