L'attaquant est parvenu à accéder à l'ordinateur de Robert Roe.
Comment l'attaquant a-t-il pu s'introduire dans le système ?
Et comment a-t-il réussi à exfiltrer le script de **Plausible Mission :
Shadow Protocol** ?
Suite à la découverte que Robert Roe est à l'origine de l'attaque, le service de
sécurité l'a interrogé pour déterminer son **niveau d'implication**.
Il a nié toute participation, il est donc nécessaire d'approfondir l'enquête
afin de comprendre comment l'attaquant a pu **compromettre son ordinateur**.
Vous devez analyser et identifier la méthode par laquelle l'attaquant a réussi à
exfiltrer le script de **Plausible Mission : Shadow Protocol**.
Pour parcourir les mails et les filtrer, c'est plus simple avec un format
lisible.
Par exemple, il est possible de convertir le format .pst en .eml
en ligne.
Il faut chercher dans ces mails des pièces jointes pouvant facilement exécuter
du code.
Un exemple fréquent est l'exécution de macro sur les documents Office.
Ils peuvent être retrouvés avec une expression régulière :
mkdir macros/
for f in ./*.eml; do
if grep -i 'content-type: application.*macro' "$f"; then
cp "$f" macros/;
fi;
done
En examinant les 6 mails, un est plus suspect que les autres : celui envoyé par
f**********@******-*****-*****.net.
Pour extraire la macro, il faut isoler le contenu en base 64 du mail, puis
exécuter la commande suivante :
cat BackupMails-25.eml | \
sed -z -e 's/.*--boundary-string\r\nContent-Type: application\/[^\r]*\r\n\([^\r]\+\r\n\)*\r\n\(\([^\r]\+\r\n\)*\)--boundary-string--/\2/' -e 's/[\r\n]//g' | \
base64 --decode > attachment.xlsm
Il faut ensuite extraire la macro.
Pour cela, on peut utiliser Excel dans une machine virtuelle, ou directement un
logiciel comme olevba.
Ensuite, pour retrouver l'adresse, il faut désobfusquer la macro.
Il est possible d'utiliser MsgBox pour afficher la commande lancée, au lieu de
l'exécuter directement.
Private Function vNhXbOGGHEea(dIzzBluPdIFHVxt As Variant, yumthkkFYyPBt As Variant)
[...]
MsgBox vNhXbOGGHEea(Array((19 Xor 57), 178, ((12 + 91) Xor 130), (37 Xor 184), 129, (59 + 5), (71 + 13), ((93 + 7) Xor 170), 180, (122 - 31), (43 - 18), 55, 206, (13 + 1), (39 - 0)), Array((19 Xor ((52 - 13) + 34)), 221, ((29 - 6) Xor (127 + (8 - 2))), (42 + 206), (78 Xor (141 + 48)), ((60 - 14) + 5), (81 - 21), (302 - 131), 216, ((71 - 22) Xor (8 - 2)), 55, 82, (223 - 41), (34 + 73), (5 Xor 2))) & _
[...]
La macro va récupérer et exécuter un script à l'adresse 162.*.*.2.
L'analyse des journaux de sécurité (dans powershell_event2.evtx) a révélé
qu'un utilisateur a procédé à un balayage systématique du réseau 10.0.2.0/24
via la ligne de code PowerShell suivante :
1..254 | ForEach-Object {
if (Test-Connection -ComputerName "10.0.2$_" -Count 1 -Quiet) {
Write-Host "10.0.2$_"
}
}
Suite à l'identification de plusieurs hôtes actifs, l'utilisateur a effectué une
vérification ciblée du port SSH (22) sur plusieurs machines dont la machine
cible :
Test-NetConnection -ComputerName "10.0.2.23" -Port 22
Les journaux indiquent que l'utilisateur a procédé à plusieurs tentatives de
connexion SSH avant de réussir à accéder au système cible :
ssh user@10.0.2.23
Horodatage de la compromission : 17 mai 2025 à 8h27.
