Alphorm.com Support de la Formation Les Sciences Forensiques : L’investigation Numérique

25/08/2016

1

Formation Les sciences forensiques : L’investigation numérique alphorm.com™©

Site : http://www.alphorm.comBlog : http://blog.alphorm.com

Hamza KONDAHFormateur et Consultant indépendant Microsoft MVP en Sécurité des Entreprises

Hacking & Sécurité, Expert :Module :

Les sciences forensiques:L’investigation numérique

25/08/2016

2


Plan• Présentation du formateur

• Mes formations sur Alphorm

• Le plan de formation

• Objectifs de la formation

• Publics concernés

• Connaissances requises

• Liens utiles

25/08/2016

3


Présentation du formateurKondah Hamza• [email protected]

• Consultant & Chercheur en Sécurité informatique

• Microsoft MVP en sécurité des entreprises

• Conférencier

• Mes références :

� Mon profil LinkedIn : https://ma.linkedin.com/in/kondah

� Mon profil Microsoft MVP : https://mvp.microsoft.com/en-us/PublicProfile/5000286?fullName=Kondah Hamza

� Mon Site Web : http://www.kondah.com

� Profil Alphorm : http://www.alphorm.com/formateur/hamza-kondah

25/08/2016

4


Mes formations sur Alphorm

25/08/2016

5


Hacking & Sécurité

Réseaux sans fils

Reconnaissance & Scanning

Vulnérabilités web

Vulnérabilités applicatifs

Metasploit

Exploitation

Forensics

Mobile

Reporting

Mise en situation

Contre mesures

Reverse Engineering

Vulnérabilité

réseaux

25/08/2016

6


Plan de la formation• Introduction à la formation

• Les sciences Forensiques

• Investigation légale sous Windows

• Investigation légale sous Linux

• Investigation légale USB

• Investigation légale Mobile

• Stéganographie

• Investigation Réseaux

• Autres techniques d'investigation

• Rapports d'investigation

• Conclusion

25/08/2016

7


Objectifs de la formation• Identifier et analyser les traces laissées lors de l’intrusion dans un

système informatique

• Collecter correctement les preuves nécessaires à des poursuites judiciaires

• Collecter et Analyser des informations à des fins d’investigation

• Bypasser les protections : Pas que de l’analyse finalement ☺

• Tracking

• Retrouver les traces : personnes ou journaux

• Trouver les traces cachées

25/08/2016

8


Publics concernés

• Pentesteur

• Consultant

• Responsables DSI

• Responsables sécurité SI

• Gendarmerie numérique

• Personne désirant apprendre de nouvelles choses ;)

25/08/2016

9


Connaissances requises

• Culture IT

• Avoir suivi les deux premiers niveaux

• Conseillés : Avoir suivi tous les niveaux expert

25/08/2016

10


Déclinaison de responsabilité• Cette formation a pour objectif de vous sensibiliser sur les failles de vos

SI et comment les protéger. Et en aucun cas vous encourage à faire des dégâts matériels ou immatériels à une personne physique ou moral.

• En aucun cas on pourra tenir responsable ni le formateur Hamza KONDAH ni Alphorm directement ou indirectement, des usages directs ou indirects de quelconque qui a suivi ou appliqué les techniques enseignées dans cette formation.

• On vous enseigne comment protéger et pas comment nuire aux autres.

25/08/2016

11


Let’s Rock ? ☺

25/08/2016

12


La mise en situation de la formation



25/08/2016

13


Plan

•Définition du forensique

•Statistiques

•Aspects de la sécurité organisationnelle

25/08/2016

14


Définition du forensique• Le forensique consiste à appliquer la science (dans ce cas, des

techniques informatisés) pour des fins de recherches légales suite à un incident ou crime.

• Méthodologie de techniques et procédures pour la récupération de preuves

• Investigation

• Preuves légalement valides

• Orientation Ethique

• Techniques utilisées par les Hackers

25/08/2016

15


Statistiques

25/08/2016

16


Aspects de la sécurité organisationnelleSécurité IT

• Application, Antivirus, Réseaux …

Sécurité Physique

• Personnes physique, Sécurité biométrique …

Sécurité Financière

• Fraude, Botnets, Phishing

Sécurité Légale

• Sécurité nationale, Copyright …

25/08/2016

17


Ce qu’on a couvert

•Mise en situation par rapport au forensique

•Définitions

•Vue globale

•Maintenant passons aux détails ☺

25/08/2016

18


Forensique des temps modernes

Introduction à la formation



25/08/2016

19


Plan

• Introduction

• Historique

• Objectifs du forensique

• Pourquoi on a besoin du forensique?

• Cyber crime

• Types de cyber crime

25/08/2016

20


Introduction• Une évolution rapide

• Une nécessité par rapport à l’afflue des cyber crimes

• Techniques utilisées par les hackers

• Centre SOC

• Analyse temps réel

• Menaces inconnues � Le forensique devient dès lors une nécessité au sein des grandes structures

25/08/2016

21


Historique

1984

• Computer Analysis and Response Team (CART)

• Assistance FBI

1993 • Première conférence sur les preuves informatiques

1995• International Organization on Computer Evidence (IOCE)

1998• International Forensic Science Symposium (IFSS)

2000• FBI Regional Computer Forensic Laboratory (RCFL)

25/08/2016

22


Objectifs du forensique

• Récupération et analyse

• Preuve

• Identification de la source

• Limiter l’impact surtout dans le cas d’une menace inconnue

25/08/2016

23


Pourquoi on a besoin du forensique ?

Protéger une organisation

Tracking

Disposition de preuves

Préserver

l’intégrité

Préserver le bon

fonctionnement du SI

Arrêter une attaque

silencieuse

25/08/2016

24


Cyber crime• Terme désigné pour définir une activité criminelle où les ordinateurs et

les réseaux sont utilisés comme des outils pour cette dernière

• Crime où la machine contient les preuves nécessaires

• Ceci n’est pas une liste exhaustive

• accidentel et non accidentel

• Challenges � Rapidité + Anonymat + Nature de la preuve

• La menace peut être interne comme externe

25/08/2016

25


Types de cyber crime• Cyber Stalking

• Phishing

• Spoofing

• Fraude

• Email Bombing

• Malwares � Meilleur exemple : Cryptolocker

• DoS

25/08/2016

26



•Evolution des temps modernes

•Cyber crime

•Pourquoi on a besoin du forensique?

•Compréhension

•Orientation

25/08/2016

27


Introduction au chapitre sur les sciences forensiques

Les sciences Forensiques



25/08/2016

28


Plan

• Introduction

• Recherches

25/08/2016

29


Introduction• En vue de l’évolution continue des techniques de cyber attaques, les

sciences forensiques sont devenues une obligation

• Aussi bien pour des institutions judiciaires que pour les centres SOC en passant par les entreprises qui ont une activité orientée digitale

• Etude de cas : Fraude

• Institution étatique : A ne pas discuter ☺

• Analyse de malware

• La bulle smartphone

25/08/2016

30


Recherches

25/08/2016

31



• Introduction au chapitre sur les sciences forensiques

25/08/2016

32


Processus de forensique




25/08/2016

33


Plan• Introduction

• Investigation de crime informatique

• Avant l’investigation

• Construire un lab

• Structurer son équipe

• Revoir les lois

• Remonter l’information

• Analyse du risque

• Construire sa boite à outils

• Méthodologie d’investigation

25/08/2016

34


Introduction• Approche méthodologique

• Il faut obligatoirement structurer son approche

• Le processus de forensique qu’on va découvrir est une vue globale et générale et peut être customisé selon votre situation, approche et besoin.

25/08/2016

35


Investigation de crime informatique

Déterminer si un

incident a eu lieu

Trouver et interpréter

les évidences

Conduire une

recherche de preuves

Recherche et analyse

de l’équipement

Collecte des preuves

25/08/2016

36


Avant l’investigation• Construire un lab

• Structurer son équipe

• Revoir les lois

• Remonter l’information

• Analyse du risque

• Construire sa boite à outils

• Définir la méthodologie

25/08/2016

37


Construire un lab• Définition des besoins

• Benchmarking

• Doit comporter quelques points importants :

� Duplication des disques

� Analyse des fichiers

� Support USB

� Isolation

25/08/2016

38


Structurer son équipe• L’équipe doit contenir le moins de personnes possibles

• Définir la personne responsable de la réactivité face à un incident

• Suivis ( SCRUM )

• Définir les responsabilités et partenariat externe (Expert, Fiduciaire, Analyse d’incident, Chef d’équipe)

• Définir le « Lead »

25/08/2016

39


Revoir les lois• Comprendre les lois en vigueur

• Lois concernées : CCPA,CCPA,PATRIOT ACT …

• Meilleures pratiques

• Confidentialité

25/08/2016

40


Analyse du risque• Identification de l’incident et de la cause

• Classifier le risque

• Déterminer les dégâts � Dans ce cas, on peut définir des plans de recovery pour d’éventuels nouveaux dégâts

• Déterminer la surface affectée

• Arrêter la communication selon la surface affectée

25/08/2016

41


Construire sa boite à outils

25/08/2016

42


Méthodologie d’investigation

25/08/2016

43


Ce qu’on a couvert• Processus d’investigation

• Etapes élémentaires

• Customisation

• Récursivité

• Bien penser sa stratégie (aussi bien structurer le personnel, moyenne ou grande)

25/08/2016

44


Preuve Digitale




25/08/2016

45


Plan

• Introduction

• Obstacles

• Pourquoi ce besoin ?

• Caractéristiques

• Approche Anti-Digital Forensics (ADF)

• Lab : Disposition ADF

25/08/2016

46


Introduction

• Preuve digitale dites vous ?

• Qu’elles sont ces types de données ?

• N’importe qu’elle information avec une valeur approbative

• Extraction d’informations, duplication de données etc …

� Enregistrement

� Logs

� Emails

� Word et compagnie

25/08/2016

47


Obstacles

• Preuves non formalisées

• Données altérées

• Ambiguïté

• Tout est relatif !

25/08/2016

48


Pourquoi ce besoin ?

• Etablir des liens

• Principe de Locards «Anyone or Anything,entering a crime scene takes something of the scene with them ,and leavessomething of themeselves behind when they leave »

• Un exemple me dites vous ?

25/08/2016

49


Caractéristiques

• Admissible

• Authentique

• Complète

• Compréhensible

• Pas de doute !

• Différentiation des types : Volatile, Non volatile, Transitoire,Fragile

• Pensez processus d’examination de preuves

25/08/2016

50


Approche Anti-Digital Forensics (ADF)• Approche pour manipuler et exploiter les données

• Rend l’analyse forensique difficile , longue et quasi impossible

• Pourquoi une approche pareille ?

• Un hacker peut aussi bien exploiter une analyse contre vous ☺

• Comme quoi on joue sur les deux flans ☺Wiping

Exploitation Bugs

ObfuscationCacher les données

25/08/2016

51


Lab : Disposition ADF

25/08/2016

52



•Preuve digitale

•Caractéristiques

•Approche ADF

25/08/2016

53


Procédure “First Responder”




25/08/2016

54


Plan

• Introduction

•Rôles du First Responder

•La volatilité … Pourquoi ?

•Mise en Situation

25/08/2016

55


Introduction• Qu’est ce qu’un « First Responder »

• Le premier arrivé sur la scène du crime � Le système

• Administrateur réseau ou responsable de la sécurité du SI …

• Ensemble de responsabilités

• Rôle primordial

• C’est aussi un ensemble d’outils

• Pourquoi ?

� Une meilleure compréhension + Bonne Analyse + Output

25/08/2016

56


Rôles du First Responder

Identifier les faits

Protéger le système

(Isolation)

Préserver les preuves ( Les

Logs par exemples)

Collection des différentes

informations

* Smartphones

* Cartes

* USB

* Ordinateurs

* Disques durs

Etiqueter les différents éléments

(Checklist , Permissions

etc…

)

Possibilité de déplacer les différents éléments

25/08/2016

57


La volatilité … Pourquoi ?

Registres, Cache

Table de Routage, Kernel,

Mémoire

Fichiers temporaire

s

Disques Durs

Monitoring

Configuration

physique et réseau

Archive Media

25/08/2016

58


Mise en Situation• Si l’ordinateur est allumé :

� Enregistrer les programmes en cours

� Photographier la scène

� Ne rien toucher !

• Si l’ordinateur est éteint :

� Surtout pas l’allumer �

• Cas Réseau :

� Enlever le câble réseau du routeur/switch� Identifier les machines connectées « Directement » � Enlever les différents câbles

25/08/2016

59



•Procédure First Responder

•Etape Cruciale

• Je souligne procédure !

25/08/2016

60


Préparation du Lab




25/08/2016

61


Plan

• Introduction

• Comment planifier la mise en place de son Lab ?

• Types d’investigations

• Choix Hardware

• Choix Software

• Architecture

• Lab : Mise en Place du Lab

25/08/2016

62


Introduction• Votre lab est votre ami !

• Il faut bien penser sa stratégie par rapport à l’instauration de votre lab

• Le budget est aussi un point primordial dans votre stratégie et « selon vos besoins » � Il existe plusieurs moyens vous permettant d’automatiser � Parfois la faciliter

• Si vous êtes professionnel � Pensez sécurité physique de votre lab

25/08/2016

63


Comment planifier la mise en place de son Lab ?

• Il faut se poser les bonnes questions

• Qu’elle types d’investigations vont être conduites ?

• Les workstations à utiliser

• Mesure contre coupure de courant

• Documentation

• Stockage sécurisé

• La nature du lab

25/08/2016

64


Types d’investigations

• Vol d’identité

• Intrusion dans un réseau/système

• Fraude en ligne

• Fraude : Carte bancaire

• En gros, tous les secteurs sont touchés

25/08/2016

65


Choix Hardware

25/08/2016

66


Choix Software

• Identifier les besoins

• Analyse d’images

• Logiciel d’analyse de fichiers et de documents

• Logiciel de monitoring

• Analyse de la mémoire

• Logiciel de conversion

• Utilitaires de Sécurité

25/08/2016

67


Architecture

25/08/2016

68


Lab : Mise en Place du Lab

25/08/2016

69



•Compréhension de l’importance du lab

•Structuration des objectifs

•Mise en place des éléments de base de notre lab

25/08/2016

70


Acquisition des données




25/08/2016

71


Plan

• Introduction

• Format d’acquisition

• Pourquoi créer une image?

• Méthodes d’acquisition

• Données volatiles

25/08/2016

72


Introduction• L’acquisition des données est le processus de récupération d’images

• Obtention des informations d’un équipement digital

• Il existe deux types d’acquisitions :

1. Statique

2. Temps réel

• Sécurisation et collecte d’information !

� Ne jamais oublier les procédures forensiques

� Combinaison d’outils � Réseau, Périphériques, Boards

25/08/2016

73


Format d’ acquisition

• Il existe trois formats d’acquisitions :

1. RAW

2. Propriétaire

3. AFF : Advanced Forensics Format

25/08/2016

74


Pourquoi créer une image ?

• La scène du crime doit être protégée

• Préserver les preuves originales

• Altération

• Perte

• Pas de one shot

25/08/2016

75


Méthodes d’acquisition

• Bit-Stream � Image

• Bit-Stream � Disque

• Acquisition logique

• Quoi choisir ? Selon vos besoins ☺ � Et votre budget surtout

25/08/2016

76


Données volatiles

• L’acquisition de données volatile est extrêmement importante

• Données hors prix

• Processus

• Mots de passes

• Ims

• Trojans

25/08/2016

77



• Acquisition de données

• Prochaine étape ?

25/08/2016

78


Introduction à l'investigation légale sous Windows

Investigation légale sous Windows



25/08/2016

79


Plan

• Introduction à l’investigation légale sous Windows

25/08/2016

80


Introduction• L’investigation sous Windows est l’un des points les plus nécessaires

• Une bonne compréhension des systèmes de fichiers est nécessaire

• Windows reste l’OS le plus accessible et donc le plus utilisé dans le marché

• Lors de ce chapitre on va essayer d’approfondir nos connaissances pour l’analyse d’images acquises lors du chapitre précédents.

• De l’analyse mais aussi de l’attaque !

• Extraction de données massives ☺

25/08/2016

81



• Introduction à l'investigation légale sous Windows

25/08/2016

82


Systèmes de fichiers




25/08/2016

83


Plan

• Introduction

• NTFS

• Avantages NTFS

• Lab : Systèmes de fichiers

25/08/2016

84


Introduction

• FAT : File Allocation Table

� FAT12

� FAT16

� FAT 32

• Depuis le DOS

• Table d’allocations

• Standard � simple et robuste

25/08/2016

85


NTFS• NTFS est le système de fichiers standard de Windows NT, y compris ses

versions ultérieures de Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, Windows 7 et Windows 8 et 10.

• Le NTFS est destiné à être utilisé sur des lecteurs avec le système Windows (disques durs et SSD).

• NTFS dispose de plusieurs améliorations par rapport au FAT, telles que l'amélioration du support des métadonnées et l'utilisation de structures de données avancées pour améliorer la performance, la fiabilité et de l'utilisation de l'espace disque, ainsi que d'autres extensions telles que la sécurité des listes de contrôle d'accès et de système de fichiers journalisé.

25/08/2016

86


Avantages NTFS

• Compression• Cryptage• Autorisations d'accès et niveaux de permissions aux répertoires et aux

fichiers• Gestion de quotas de disque• Points de montage• Stockage étendu (partitions de plus de 2 TO). • Fichier de grande taille ( jusqu'à la taille de la partition entière au lieu

d'un maximum de 4 GO en FAT32)• Sécurité• Fiabilité• Performances

25/08/2016

87


Lab:Systèmes de fichiers

25/08/2016

88



•Systèmes de fichiers

•NTFS

•Windows

25/08/2016

89


Création d'une image




25/08/2016

90


Plan

• Introduction

• Lab : Création d’une image

25/08/2016

91


Introduction• La création d’image est une des étapes les plus cruciales

• Utilisation d’outils professionnels ou bien d’applications dédié

• Mémoire ou bien disque

• Copie dans un disque dur en mode read only

• Disque dur Backup

25/08/2016

92


Lab : Création d’une image

25/08/2016

93



• Création d’une image sous windows

25/08/2016

94


Collecte d'information volatile




25/08/2016

95


Plan

• Introduction

• Lab : Collecte d’information volatile

25/08/2016

96


Introduction• La collecte d’informations volatiles est un des points les plus importants

du processus de forensique

• Les informations volatiles sont souvent ceux qui ont le plus de valeurs

• Exemple d’informations :

� Interfaces réseaux

� Services

� Processus

� Presse papier

� …

25/08/2016

97


Lab : Collecte d’information volatile

25/08/2016

98



•Collecte d’information volatile

•Outils

•Que faire ? Astuce : Netcat

25/08/2016

99


Analyse de la mémoire




25/08/2016

100


Plan

• Introduction

• Structure

• Volatility Framework

• Lab : Analyse de la mémoire

25/08/2016

101


Introduction

• Le dump de la mémoire contient des informations capables de retracer la véritable cause d’une panne ou les traces d’un hacker etc…

• Cela permet aussi de récupérer les différentes informations cités dans les vidéos précédentes : Réseau, Logs …

• L’analyse de la mémoire qu’on va découvrir se base sur l’exploitation d’une image acquise via les méthodes citées dans la vidéos précédente

•

25/08/2016

102


Structure

25/08/2016

103


Volatility Framework• Collection d’outils

• Python

• Extraction de la mémoire

• Dump de la RAM

• Plateforme recherche forensique

• Puissant, précis et rapide

25/08/2016

104


Systèmes d’exploitations supportés

25/08/2016

105


Lab : Analyse de la mémoire

25/08/2016

106



•Analyse

•Structuration

•Attaque ☺

25/08/2016

107


Analyse des registres




25/08/2016

108


Plan

• Introduction

• Lab : Analyse des registres

25/08/2016

109


Introduction• Un administrateur peut interagir avec les registres à travers des

programmes intermédiaires

• Interface GUI : Regedit.exe

• 7 pincipaux dossiers

25/08/2016

110


Lab : Analyse des registres

25/08/2016

111



• Importance des registres

•Navigation

•Exploitation

25/08/2016

112


Navigateurs : La mine d'or




25/08/2016

113


Plan

• Introduction

• Lab : Navigateurs : La mine d'or

25/08/2016

114


Introduction• Les navigateurs peuvent contenir toutes les informations nécessaires

pour retracer l’activité d’un hacker, victime, ou autre

• Les fichiers parlent tous seuls ☺

• Possibilité d’utilisation d’outils automatisés

• Pour les fans de Meterpreter � Modules intégrés

25/08/2016

115


Lab : Forensique navigateurs

25/08/2016

116



•Navigateurs : La mine d'or

•Techniques forensiques navigateurs

25/08/2016

117


Hash




25/08/2016

118


Plan

• Introduction

• Lab : Hash

25/08/2016

119


Introduction• L'algorithme MD5, pour Message Digest 5, est une fonction de hachage

cryptographique

• Permet d'obtenir l'empreinte numérique d'un fichier.

• L'utilisation de cette fonction de hachage dans les signatures numériques peut conduire à de multiples scénarios d'attaque et n'est plus considérée comme un composant fiable de l'infrastructure à clés publiques.

• Le calcul de la « signature » d'un fichier reste plutôt fiable, même si l'on ne peut pas assurer qu'il y a une unicité entre l'empreinte calculée et le fichier ou message source

25/08/2016

120


Lab : Hash

25/08/2016

121



•Notion de hash

• Importance Hash

•Calcul Hash

25/08/2016

122


Métadonnées




25/08/2016

123


Plan

• Introduction

•Types de Métadonnées

• Lab : Métadonnées

25/08/2016

124


Introduction• Le mot signifie proprement « donnée de/à propos de donnée »)

• Une donnée servant à définir ou décrire une autre donnée quelle que soit son support

• Exemple : Nom d’auteur, nom du réseau, Objets OLE…

• Importance :

� Informations cachées à propos du document

� Qui tente de supprimer, cacher ou altérer les données

� Corrélation

25/08/2016

125


Types de Métadonnées

• Il existe trois types de métadonnées :

� Métadonnées Descriptives

� Métadonnées Structurelles

� Métadonnées Administratives

25/08/2016

126


25/08/2016

127


Lab : Métadonnées

25/08/2016

128



•Définition

• Importance

•Pratique ☺

25/08/2016

129


Logs




25/08/2016

130


Plan

• Introduction

•Ce qu’on va découvrir?

• Lab : Logs

25/08/2016

131


Introduction• Les journaux contiennent une variété d’informations journalières

• Quelques informations sont automatiquement récoltées

• Evènements

• Important

• Accès simple

25/08/2016

132


Ce qu’on va découvrir

• Structure de données des logs

• Analyse des logs

• Firewall

• Système

• Protocoles (FTP,HTTP …)

25/08/2016

133


Lab : Logs

25/08/2016

134



•Utilité des Logs

•Exploitation des logs pour des fins forensiques

25/08/2016

135


Bypasser les mots de passe




25/08/2016

136


Plan

• Introduction

• Lab : Bypasser les mots de passe

25/08/2016

137


Introduction• Une fois l’ordinateur récupéré, On peut avoir un obstacle assez sérieux

• Le mot de passe de la session !

• Les criminels (Hackers ou autres) oublient soudainement les mots de passe ☺

• Malheureusement pour eux, tout a une solution

• Utilisation d’outils et d’exploits ☺

• Le Forensique ce n’est pas que de la défense et Analyse ;)

25/08/2016

138


Formation Hacking et Sécurité : Avancé

25/08/2016

139


Lab : Bypasser les mots de passe

25/08/2016

140



•Bypasser les mots de passe

•Exploits et outils de Bruteforcing

25/08/2016

141


Introduction à l'investigation légale sous Linux

Investigation légale sous Linux



25/08/2016

142


Plan

• Introduction à l'investigation légale sous Linux

•Ce qu’on va découvrir

25/08/2016

143


Introduction• Ne jamais oublier les phases :

1. Préservation

2. Analyse

3. Reconstitution

• Le forensique sous linux est tout aussi important que sous Windows

• Plusieurs systèmes critiques tournent sous Linux

• Plusieurs incidents aussi …

25/08/2016

144


Ce qu’on va découvrir

• Analyse des besoins

• Acquisition de données

• Récupération et analyse de logs

• Analyse de mémoire

• Bypasser les mots de passe

• LiME

• Et d’autres surprises … =)

25/08/2016

145



• Introduction chapitre d’investigation légale sous Linux

25/08/2016

146


Systèmes de fichiers




25/08/2016

147


Plan

• Introduction

•Structure

25/08/2016

148


Introduction• Comme pour Windows, la bonne compréhension des systèmes de

fichiers est nécessaire afin de réaliser l’efficience

• Les systèmes de fichiers jouent exactement le même rôle que ces index : organiser les fichiers de votre ordinateur sur votre disque dur de façon à pouvoir les retrouver lorsque vous en aurez besoin

• FS les plus connus :

•Ext2fs

•Ext3fs

•Ext4fs

25/08/2016

149


Structure d’un FS

25/08/2016

150



•Compréhension systèmes de fichiers

•Analyse

25/08/2016

151


Quelles données collecter ?




25/08/2016

152


Plan

• Introduction

•Données à collecter

25/08/2016

153


Introduction• Tout au long des formations qu’on a pu suivre ensemble,

on a pu découvrir à quel point la structuration des connaissances est importante

• En allant vers ce sens, il est très important de pouvoir structurer les différentes informations nécessaires à trouver, afin de ne pas perdre du temps et de gagner en efficacité

• Ce processus entre dans l’ingénierie organisationnelle

25/08/2016

154


Données à collecter• Informations relatives au temps

• Interfaces réseaux

• Connexions

• Ports

• Services

• Fichiers

• Modules du Kernel

• …

25/08/2016

155



•Quelles données collecter ?

•Pourquoi les collecter ?

• Ingénierie organisationnelle

25/08/2016

156


Processus forensiqueLinux




25/08/2016

157


Plan

• Introduction

•Points importants

25/08/2016

158


Introduction

25/08/2016

159


Points importants • Compréhension : FS, Fonctionnement, Boot …

• Débogage

• Importance de la structuration des connaissances

• Les procédures et processus peuvent changer selon vos besoins

25/08/2016

160



•Processus

•But

• Importance de la méthodologie

25/08/2016

161


Création d'une image




25/08/2016

162


Plan

•Méthodes d’acquisition du disque

•Méthodes d’acquisition de la mémoire

•Acquisition à froid

• Lab : Création d'une image

25/08/2016

163


Méthodes d’acquisition du disque

•Formats d’images :

• Raw

• Propriétaire incluant les métadonnées

• Propriétaire avec les métadonnées séparément

• Raw avec un hash

25/08/2016

164


Méthodes d’acquisition de la mémoire

• Deux méthodes d’acquisition :

1. Méthode difficile :

� http://hysteria.sk/~niekt0/foriana/fmem_current.tgz

� Même principe que /dev/mem � /dev/fmem

� Image Raw

25/08/2016

165


Méthodes d’acquisition de la mémoire

2. Méthode facile :

� Linux Memory Extractor

� Build pour un Kernel spécifique

25/08/2016

166


Acquisition à froid• Cool Boot Attack

• Attaque très intéressante

• Informations fraiches

• Pas de possibilités d’extraction via Volatility ou autre

• https://www.ethicalhacker.net/features/root/using-cold-boot-attacks-forensic-techniques-penetration-tests

25/08/2016

167


Lab : Création d'une image

25/08/2016

168



•Types d’images

•Création d’images

•Pensez à des HD puissants et sécurisés

25/08/2016

169


Lime




25/08/2016

170


Plan

• Introduction

• Lab : Lime

25/08/2016

171


Introduction• Linux Memory Extractor (LiME)

• Build spécifique à un Kernel spécifique

• Ubuntu : apt-get install lime-forensics-dkms

• Repo Github : https://github.com/504ensicsLabs/LiME

• Format :

• Raw

• Padded

• Lime

25/08/2016

172


Lab : Lime

25/08/2016

173



•Lime

•Exploitation de l’acquisition via Lime

•Le temps de l’analyse est arrivé

25/08/2016

174


Analyse de la mémoire




25/08/2016

175


Plan

• Introduction

• Lab : Analyse de la mémoire

25/08/2016

176


Introduction• Analyse de la mémoire

• Exploitation de volatility

• Puissance et efficacité

• Semblable à l’analyse de la mémoire sous Windows

• Combinaison parfaite avec LiME ☺

25/08/2016

177


Lab : Analyse de la mémoire

25/08/2016

178



•Analyse de la mémoire sous linux

•Volatility

25/08/2016

179


Récolte d'informations

volatiles




25/08/2016

180


Plan

• Introduction

• Lab : Récolte d'informations volatiles

25/08/2016

181


Introduction• Comme on a pu le voir auparavant, mais aussi pour les prochaines

vidéos, les informations volatiles sont une mine d’or à ne pas négliger

• Le but étant d’exploiter au maximum ces informations

• Les journaux doivent surtout répondre aux besoins en terme d’informations à récolter

• Vous pourrez remarquez que tout au long de la formation, il y a des informations complémentaires ☺

25/08/2016

182


Lab : Récolte d'informations volatiles

25/08/2016

183



•Récolte d'informations volatiles

25/08/2016

184


Analyse de fichiers




25/08/2016

185


Plan

• Introduction

• Lab : Analyse de fichiers

25/08/2016

186


Introduction

• Suite à la création de l’image � « mount », nous allons pouvoir commencer l’analyse des différents éléments

• Pendant cette vidéo, nous allons analyser les différents fichiers

• Exploitation d’outils

• De l’investigation ☺

25/08/2016

187


Lab : Analyse de fichiers

25/08/2016

188



•Analyse de fichiers

• Investigation ohhh investigation ^^

25/08/2016

189


Mesures post exploitation




25/08/2016

190


Plan

• Introduction

• Lab : Mesures post exploitation

25/08/2016

191


Introduction

• Suite à l’exploitation que peut ont faire d’orienté Forensique?

• Récupération des informations des registres

• Dump de processus

• Dump de la mémoire

25/08/2016

192


Lab : Mesures post exploitation

25/08/2016

193



•Mesures post exploitation

25/08/2016

194


Bypasser les mots de passe




25/08/2016

195


Plan

• Introduction

• Lab : Bypasser les mots de passe

25/08/2016

196


Introduction

• Point clé lors de l’analyse

• Passer par la grande porte

• Plusieurs techniques

• Etre le plus malin aussi peut jouer un grand rôle ☺

• Let’s find the Hash ☺

25/08/2016

197


Lab : Bypasser les mots de passes

25/08/2016

198



•Bypasser les mots de passe

•Plusieurs techniques ☺

•Point clé

25/08/2016

199


Introduction à l’investigation légale USB

Investigation légale USB



25/08/2016

200


Plan

• Introduction

• Lab : Analyse initiale des données USB

25/08/2016

201


Introduction

• Les clés USB sont une mine d’or pour toute personne pratiquant le forensique

• Point fort � Flux de données dynamique

• Les données ne sont jamais vraiment supprimées � On en a parlé lors du chapitre introductif sur la formation

• Transport de données � Données importantes

25/08/2016

202


Lab : Analyse initial données USB

25/08/2016

203



• Introduction à l’investigation légale USB

25/08/2016

204


Création d’une image




25/08/2016

205


Plan

• Introduction

• Lab : Snapshot USB

25/08/2016

206


Introduction• Effectuer un snapshot est un point des plus importants comme cité tout

au long de la formation

• Prendre un Snapshot est une étape qui peut prendre du temps

• L’outil utilisé pour la récupération de l’image est : Dc3dd , qui est un outil extrêmement puissant et spécialisé dans le forensique

• L’analyse forensique n’est pas une chose simple, Il faut de la patience, de la motivation et surtout de la compréhension � Revoir bases

25/08/2016

207


Lab : Snapshot USB

25/08/2016

208



•Création d’une image d’un périphérique USB

25/08/2016

209


Sniffing




25/08/2016

210


Plan

• Introduction

• Lab : Sniffing

25/08/2016

211


Introduction

•Sniffer � Intercepter, écouter

•Ecoute et analyse du Traffic USB

•Analyse

•Comportement

• Wireshark est ton ami ☺

25/08/2016

212


Lab : Sniffing

25/08/2016

213



• Sniffing du traffic USB ;)

25/08/2016

214


Investigation USB




25/08/2016

215


Plan

• Introduction

• Lab : Forensique USB

25/08/2016

216


Introduction• Analyse

• Historique des connexion USB

• Vol de documents

• Infection ☺

• Méthodologie � Encore et toujours

• Bien suivre les étapes

• Le forensique peut s’effectuer sur l’USB en tant que « Disque » ou encore une analyse sur les périphériques

25/08/2016

217


Méthodologie de forensique USB

Déterminer le vendeur, produit, version

Numéro de serie

VID ET PID

Nom du dispositif

GUID

Utilisateur

Historique

25/08/2016

218


Lab : Forensique USB

25/08/2016

219



•Analyse USB

•Méthodologie d’analyse

•Historique : Très important

25/08/2016

220


Introduction à l'Investigation légale Mobile

Investigation légale Mobile



25/08/2016

221


Plan

• Introduction à l'Investigation légale Mobile

25/08/2016

222


Introduction• Pourquoi le mobile ?

• Quelle est la chose la plus utilisée par une personne ☺ ?

• Quel trésor qui renferme le plus d’informations ☺ ?

• Pendant ce chapitre on va pouvoir découvrir plusieurs points

• Bypass de mots de passes � Point crucial

• Analyse

• Extraction de données

• iOS, Android et WindowsPhone

25/08/2016

223



• Introduction à l'Investigation légale Mobile

25/08/2016

224


Architecture Mobile




25/08/2016

225


Plan

• Introduction

•Caractéristiques du smartphone

•Architecture d’Android

25/08/2016

226


Introduction

• Une bonne compréhension de l’architecture est primordiale pour aller « Deeper »

• Différents OS

• Dans notre cas, on va se focaliser sur l’OS mobile le plus utilisé � Android

• Architecture et composants

25/08/2016

227


Caractéristique smartphone

• Processeur

• Mémoire

• Affichage

• Camera

• Carte réseau

• Batterie

• …

25/08/2016

228


Système d’exploitation

25/08/2016

229


L’architecture d’Android

25/08/2016

230



•Architecture

25/08/2016

231


Carte SIM




25/08/2016

232


Plan

• Introduction

• IMEI

• IMSI

•Autres informations

• Lab : Carte SIM

25/08/2016

233


Introduction

• La carte SIM est un élément qui contient des informations complètes sur l’abonné

• À manipuler avec précaution

• Facteur d’authentification

• Mémoire non volatile et volatile

• Integrated Circuit Card Identification

• Electronic Serial Number

25/08/2016

234


IMEI

• International Mobile Equipement Identifier

• *#06#

25/08/2016

235


IMSI• International mobile subscriber identity

• Numéro unique, qui permet à un réseau mobile

d'identifier un usager.

• IMSI Catchers

25/08/2016

236


Autres informations•Mobile Country Code (MCC) •Mobile Network Code (MNC) •Mobile Subscriber Identification Number (MSIN) •Mobile Station International Subscriber Directory Number (MSISDN) •Abbreviated Dialing Numbers (ADN) •Last Dialed Numbers (LDN) •Short Message Service (SMS) •Language Preference (LP) •Ciphering Key (Kc) •Ciphering Key Sequence Number•Emergency Call Code •Fixed Dialing Numbers (FDN) •Local Area Identity (LAI) •Own Dialing Number•Temporary Mobile Subscriber Identity (TMSI)

25/08/2016

237


Lab : Carte SIM

25/08/2016

238



•La carte SIM peut être très utile

•Faites attention aux IMSI ☺

25/08/2016

239


Processus ForensiqueMobile




25/08/2016

240


Plan

• Introduction

•Qu’est ce qu’on cherche?

•Processus forensique mobile

25/08/2016

241


Introduction• L’évolution continue de l’utilisation des smartphones en fait une cible

parfaite pour les hacker

• Malware, Scamming ou autre techniques

• Preuve parfaite

• Complexe � Pas tant que ça

• Comment bien appréhender le forensique mobile ?

• Suivre une méthodologie précise

25/08/2016

242


Qu’est ce qu’on cherche ?

25/08/2016

243


Processus forensique mobile

25/08/2016

244



• Compréhension

• Structuration

• Allez droit au but

• Méthodologie

“La méthode, c'est le chemin, une fois qu'on l'a parcouru.” J.Mestre

25/08/2016

245


Techniques Forensique Mobile




25/08/2016

246


Plan

• Introduction

•Santoku

• Lab : Techniques Forensique Mobile

25/08/2016

247


Introduction

• Nous allons consacrer cette présentation spécialement pour les techniques forensiques mobiles

• Cela peut être des techniques d’analyse ou d’attaque

• Ne jamais oublier la méthodologie !

25/08/2016

248


Santoku

•Distribution Linux

•Spécialisé dans le forensique mobile

•Analyse de malwares

•Analyse d’applications

•Pentest mobile

25/08/2016

249


Lab : Techniques Forensique Mobile

25/08/2016

250



•Techniques forensique

•Multiple flans d’attaques

•La clé � La pratique ☺

25/08/2016

251


Introduction à la Stéganographie

Stéganographie



25/08/2016

252


Plan

• Introduction

•Fonctionnement

•En quoi la stéganographie est elle utilisée ?

•Techniques stéganographie

•Types stéganographie

25/08/2016

253


Introduction• Techniques pour cacher un message secret au sein d’un message

ordinaire

• Transiter des informations (cryptées ou non) sans attirer l'attention

• La stéganographie date de 1499 avec le traité Steganographie publié par TRITHEMIUS et a pris depuis diverses formes au fur et à mesure de son évolution et de l'ingéniosité de ses utilisateurs

• Stéganographie moderne � Images (format bitmap) ou les fichiers audios

25/08/2016

254


Fonctionnement

25/08/2016

255


En quoi la stéganographie est elle utilisé ?

•Malwares

•Fraude

•Communication entre terroristes

•Paiement électronique

•Authentification

25/08/2016

256


Techniques de stéganographie

•Substitution

•Transformation

•Spectre

•Fréquence

•Distorsion

25/08/2016

257


Types de stéganographie

• Image

• Audio

• Video

• Web

• Documents

• Spam/Mail

• Fréquence texte

25/08/2016

258



• Introduction à la Stéganographie

•Types de stéganographie

25/08/2016

259


Techniques de Stéganographie

Stéganographie



25/08/2016

260


Plan

• Introduction

• Lab : Techniques de stéganographie

25/08/2016

261


Introduction• Tout au long de cette vidéo, nous allons pouvoir exploiter différentes

techniques de stéganographie

•Audio

•Image

•Etc …

• Techniques basiques � Utilisation de logiciel dédié

• Techniques avancées � Utilisation de scripts python

25/08/2016

262


Lab : Techniques de stéganographie

25/08/2016

263



•Techniques de stéganographie

•Différents types

•Enjoy =)

25/08/2016

264


Introduction à l’investigation des réseaux

Investigation des Réseaux



25/08/2016

265


Plan

• Introduction

•Méthodologie du forensique réseau

25/08/2016

266


Introduction• Le forensique au niveau des réseaux consiste à identifier une activité

« criminelle »

• Utilisation de plusieurs techniques : Sniffing, Enregistrement, Analyse…

• Inspection de traffic

• Logs – IDS/NIDS

• Pouvoir récupérer un ensemble d’éléments cruciaux :

� Source

� Technique

� Destination

25/08/2016

267


Méthodologie du forensique réseau

25/08/2016

268



• Introduction forensique des réseaux

•Bien comprendre la méthodologie

•Les techniques ne sont pas tout ;)

25/08/2016

269


Les attaques réseaux




25/08/2016

270


Plan

• Introduction

•Vulnérabilités réseaux

•Types de vulnérabilités

25/08/2016

271


Introduction• La bonne compréhension des attaques est un point important pour une

bonne analyse

• « La meilleure défense est l’attaque »

• Pour une bonne efficience, il faut suivre la formation Vulnérabilités réseaux

25/08/2016

272


Vulnérabilités réseaux

• Vulnérabilités internes

• Bande passante

• Bottlenecks

• Vulnérabilités externes

• Sniffing

• DoS

• DDoS

25/08/2016

273


Types de vulnérabilités

Spoofing Sniffing Altération MiTM SHijacking

DoS BO Trojan Malware

Virus Email Ransomware Enumération

25/08/2016

274



•Les attaques réseaux

•Les principales attaques

25/08/2016

275


Analyse et investigation des réseaux




25/08/2016

276


Plan

• Introduction

• Lab : Analyse et investigation des réseaux

25/08/2016

277


Introduction

• Pourquoi l’investigation du réseau ?

• Identification des problèmes

• Identification d’actions malicieuses

• Localisation des attaquants

• Diverse techniques et outils (Wireshark, Sonde, AI, SIEM…)

• Identification via des IDS

25/08/2016

278


Lab : Analyse et investigation réseaux

25/08/2016

279


Ce qu’on a couvert• Analyse et investigation des réseaux

• Outils

• IDS

• IA

• Solution de traçabilité ☺ � Balabit, Wallix …

• Bientôt des formations sur des solutions de traçabilité

25/08/2016

280


Investigation des réseaux sans fils




25/08/2016

281


Plan• Introduction

• Lab : Investigation réseaux sans fils

25/08/2016

282


Introduction• On déjà eu la chance de pouvoir parler des réseaux sans fils

• Investigation sans fils

• Détection d’attaques

• Ne jamais oublier le routeur !

25/08/2016

283


Lab : Investigation réseaux sans fils

25/08/2016

284


Ce qu’on a couvert• Investigation réseaux sans fils

• Attaques

• Détection

• Testez !

25/08/2016

285


Forensic Toolkit® (FTK®)

Autres techniques d'investigation



25/08/2016

286


Plan

• Introduction

• Lab : FTK

25/08/2016

287


Introduction

• FTK : Forensic Toolkit est reconnu mondialement comme standard de forensique

• Plateforme complète, rapide, stable et efficace

• Supporte de grandes quantités de données

• Méthode de recherches avancées

• Analyse heuristique malwares

• Hash

25/08/2016

288


Lab : FTK

25/08/2016

289



•Découverte et exploitation des options du FTK

25/08/2016

290


Tracking de l’email




25/08/2016

291


Plan

• Introduction

•Crime via email

• Lab : Tracking de l’email

25/08/2016

292


Introduction

• L’investigation sur les emails est un des points les plus importants

• Renferme des données essentielles

• Quand le hacker devient une cible

• Header

• Catch me if you can !

25/08/2016

293


Crime via mail

• Crime via envoi de mail : spamming, mail bombing…

�Crime supporté par le mail : Blackmailing, fraude, usurpation d’identité..

• Anonymat

• Rapidité

• Facilité

25/08/2016

294


Lab : Tracking mail

25/08/2016

295



•Analyse des emails

•Tracking des emails

•Catch me if you can

25/08/2016

296


Investigations des attaques web




25/08/2016

297


Plan

• Introduction

•Architecture

•Etapes de l’investigation

25/08/2016

298


Introduction

•L’investigation web passe par plusieurs étapes importantes

•Vaut mieux prévenir que guérir ☺

•OWASP

25/08/2016

299


Architecture

25/08/2016

300


Etapes de l’investigation • Etape 1 : Localisation des logs

• Etape 2 : Compréhension des logs

• Etape 3 : Analyse des logs

IP_ADDRESS - - [Date_Time Timezone] "HTTPMETHOD /URL HTTP_VERSION" HTTP_RESPONSE_CODE HTTP_LENGHT "REFERER" "USER AGENT"

66.249.75.219 - - [30/Jun/2015:09:17:42 -0400] "GET / HTTP/1.1" 200 255 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

66.249.75.219 - - [30/Jun/2015:09:17:42 -0400] "GET / HTTP/1.1" 200 255 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

$ cat access-log |grep -E "wp-admin|wp-login|POST /" | more

25/08/2016

301



•L’investigation des attaques web

• Inspection des logs des serveurs

25/08/2016

302


Récupération des données et fichiers supprimés




25/08/2016

303


Plan

• Introduction

• Lab : Récupération des données et fichiers supprimés

25/08/2016

304


Introduction

• Pendant cette présentation, nous allons pouvoir apprendre comment analyser les fichiers supprimés sur un disque

• Analyse des signatures et de l’historique

• Outils automatisés

• Analyse des activités récentes

25/08/2016

305


Lab : Récupération de données et fichiers supprimés

25/08/2016

306



•Récupération des données et fichiers supprimés

•Analyse des activités récentes

25/08/2016

307


Les rapports d'investigation



25/08/2016

308


Plan

• Introduction

• Lab : Les rapports d'investigation

25/08/2016

309


Introduction• Le reporting est un des points les plus importants voir le plus important

comme on a pu le découvrir tout au long de toutes ces formations qu’on a pu voir ensemble

• Le reporting au niveau forensique est spécial

• Le rapport compte plus que tout

• Je vais vous fournir des templates qu’on va analyser ensemble

• On va faire la construction de rapport ensemble

25/08/2016

310


Lab : Rapports d'investigation

25/08/2016

311



•Reporting

•Template

•Outils

25/08/2016

312




Conclusion

25/08/2016

313


Hacking & Sécurité

Réseaux sans fils

Reconnaissance & Scanning

Vulnérabilités web

Vulnérabilités applicatifs

Metasploit

Exploitation

Forensics

Mobile

Reporting

Mise en situation

Contre mesures

Reverse Engineering

Vulnérabilités

réseaux

25/08/2016

314


Plan de la formation• Introduction à la formation

• Les sciences Forensiques

• Investigation légale sous Windows

• Environnement Windows

• Investigation légale sous Linux

• Investigation légale USB

• Investigation légale Mobile

• Stéganographie

• Investigation Réseaux

• Autres techniques d'investigation

• Rapports d'investigation

• Conclusion

25/08/2016

315


Objectifs de la formation• Identifier et analyser les traces laissées lors de l’intrusion dans un

système informatique

• Collecter correctement les preuves nécessaires à des poursuites judiciaires

• Collecter et Analyser des informations à des fins d’investigation

• Bypasser les protections : Pas que de l’analyse finalement ☺

• Tracking

• Retrouver les traces : personnes ou journaux

• Trouver les traces cachées

25/08/2016

316


Perspectives

Perspectives

25/08/2016

317


La Suite • Tester vos compétences (rootme,

NewbieContest, CTF…etc)

• D’autres modules en cours de préparation

• Veille

• Pratique

• Grande surprise : CEHv9 en cours de préparation rien que pour vous ^^

25/08/2016

318


Déclinaison de responsabilité• Cette formation a pour objectif de vous sensibiliser sur les failles de vos

SI et comment les protéger. Et en aucun cas vous encourage à faire des dégâts matériels ou immatériels à une personne physique ou moral.

• En aucun cas on pourra tenir responsable ni le formateur Hamza KONDAH ni Alphorm directement ou indirectement, des usages directs ou indirects de quelconque qui a suivi ou appliqué les techniques enseignées dans cette formation.

• On vous enseigne comment protéger et pas comment nuire aux autres.

25/08/2016

319


Questions ? Remarques ? Critiques ?

Technology

Alphorm.com Support de la Formation Les Sciences Forensiques : L’investigation Numérique