Compromission du serveur de stockage central

Après l’insertion de la clé USB et l'exécution des premières actions malveillantes, une activité réseau inhabituelle a été détectée depuis le poste compromis.

Votre mission est de reconstituer les étapes suivantes de l’attaque : comment l’assaillant a analysé le réseau interne, identifié une cible critique, et accédé au serveur de stockage central de l’entreprise.

## Objectif de la mission :

Comprendre comment l’attaquant a accédé au serveur de stockage central et a obtenu des privilèges root, malgré les contraintes physiques et sans générer de trafic réseau inhabituel.

## Documents mis à votre disposition :

- Dump RAM complet du PC compromis

- Logs du firewall de l’entreprise

## Votre rôle :

Analyser attentivement les informations fournies pour identifier la méthode utilisée par l’attaquant afin de localiser le serveur NAS et obtenir un accès root. Chaque indice peut être déterminant pour reconstituer l’attaque et sécuriser le système contre de futures compromissions.

Cote 47 pts

Corrigé – Analyse mémoire Windows compromis

Objectif de l'exercice

À partir d’un dump mémoire Windows (memdump.mem), il faut reconstituer le déroulement de l’attaque et mettre en évidence les indices laissés par l’attaquant.

L’analyse doit permettre de :

Retrouver le processus Python utilisé pour exécuter le reverse shell.
Identifier si l’attaquant a scanné le réseau.
Mettre en évidence le fichier et la faille utilisés pour compromettre le NAS Debian.
Conclure sur la vulnérabilité exploitée (CVE).

Étape 1 – Observation des processus actifs

La première étape d’une analyse mémoire consiste à examiner la liste des processus en cours d’exécution au moment de la capture. Cela permet de détecter rapidement des programmes suspects qui n’ont rien à faire sur un poste utilisateur.

python vol.py -f memdump.mem windows.pslist

On observe ici un processus python3.13.exe qui exécute un script nommé payload.py.

pid number

La présence d’un tel script Python est inhabituelle et suspecte : il s’agit du code malveillant utilisé par l’attaquant pour établir un reverse shell.

Ce processus est bien celui qui a initié la connexion TCP inhabituelle demandée dans la Q1.

Étape 2 – Analyse des arguments des processus

Après avoir repéré des processus suspects, il faut regarder leurs arguments de lancement. Les lignes de commande révèlent les actions exactes de l’attaquant.

python vol.py -f memdump.mem windows.cmdline

2.1 – Listener Ncat

ncat command

On retrouve :

ncat.exe -l 4444

Cette commande met en place un listener sur le port 4444. Une fois le NAS compromis, celui-ci se connectera sur ce port et l’attaquant obtiendra un shell interactif.

2.2 – Scan réseau avec Nmap

nmap command

On voit aussi :

nmap.exe -Pn ***** ******

Explication des options :

-Pn : ignore le ping et considère toutes les machines comme vivantes.
-sT : scan TCP connect basique mais efficace.
-p 1-1000 : scan des 1000 premiers ports.
--randomize-hosts : change l’ordre des adresses pour brouiller les pistes.
192.168.159.0/24 : cible l’ensemble du sous-réseau local.

Ce scan a permis à l’attaquant de détecter le NAS Debian et son service SMB (port 445).

2.3 – Corrélation des résultats

both resolutions

La combinaison des arguments montre une séquence cohérente :

nmap.exe a servi à cartographier le réseau et identifier le service vulnérable.
ncat.exe a ouvert un port d’écoute (4444) pour recevoir un reverse shell.
python3.13.exe a exécuté payload.py, le script utilisé pour établir la connexion malveillante.

Conclusion finale

L’analyse mémoire met en évidence le scénario suivant :

Exécution d’un script Python qui a initié le reverse shell.
Scan réseau avec Nmap → détection du service SMB exposé par le NAS Debian.
Mise en place d’un listener avec Ncat sur le port 4444.
Transfert et exécution d’un fichier malveillant via le protocole SMB.

Tous ces éléments permettent de conclure que l’attaquant a exploité la vulnérabilité critique SMBGhost.

La brêche