L'IAA vous fournit des journaux de proxy afin de déterminer si l'attaquant s'est latéralisé sur le parc.
Grâce à vous, **l'IAA** sait désormais que la compromission de son **pfSense** s'est faite par une attaque par supplychain, via la mise à jour d'un paquet tiers nommé **ntopng**.
Cependant, une question reste: comment les fichiers confidentiels de l'IAA ont-ils pu se retrouver sur le **routeur** ? Vous soupçonnez l'attaquant de s'être latéralisé.
Vous devez maintenant analyser les journaux du proxy pour identifier cette latéralisation si elle a bien eu lieu.
Est d'abord fournie des journaux d'un proxy Squid du parc.
Il va nous falloir l'analyser pour déterminer la vulnérabilité utilisée par
l'attaquant pour se latéraliser.
Les journaux contiennent de nombreux sites visités, ainsi que de nombreux
endpoints pour chacun de ses sites.
Il apparaît également que parmi ces sites visités se trouve ce qu'il semble
être un Sharepoint étant donné le nom de domaine et les endpoints utilisés.
En les inspectant de plus près, on peut remarquer qu'un seul endpoint n'est
utilisé qu'une seule fois.
Avec les bons mots-clés, il est alors aisé de trouver la CVE utilisée.
Une fois la vulnérabilité sur le Sharepoint identifiée, nous obtenons
les journaux d'événements Windows de deux machines du parc.
En creusant dans ces journaux, notamment au sein des journaux opérationnels
PowerShell de la machine notée WS02, qui semble être la machine hébergeant
le service Sharepoint, on peut trouver une commande suspecte ayant lieu
au même moment que la requête malveillante précédemment identifiée.
Cette commande suspecte peut être reconnue comme la charge utile
meterpreter_reverse_tcp pour PowerShell de la suite Metasploit. Il s'agit
donc d'un simple shell inversé.
En analysant les journaux d'événements Windows plus en profondeur, notamment
les techniques communes de persistance, on peut remarquer qu'un service a été
créé bien après les autres services avec un nom étrange dans le journal
System du serveur hébergeant le Sharepoint.
