Challenge Honeynet 3 : analyse mémoire d'une machine compromise

Magazine
Marque
GNU/Linux Magazine
Numéro
131
Mois de parution
octobre 2010


Résumé
Des opérations bancaires suspectes ont eu lieu sur le compte de la société. Un employé ayant accès au compte a reçu récemment un PDF d'un ancien collègue, mais lorsqu'il a ouvert ce document, celui-ci était vide. Avec le recul, il est possible que ce PDF ait été le moyen de compromettre la sécurité de sa machine. Une image mémoire a été réalisée, notre tâche est de l'analyser pour faire le point sur ce problème de sécurité. Tel est le difficile challenge « Banking Troubles » proposé par le projet Honeynet.

1. Outils

Après avoir récupéré l'image mémoire (https://www.honeynet.org/challenge2010/downloads/hn_forensics.tgz) et avoir vérifié l'empreinte SHA1 :

[kmaster@adsl challenge3]$ sha1sum hn_forensics.tgz

8178921fd065ad2de9c6738fe062d2b37402c04a hn_forensics.tgz

nous pouvons commencer à analyser le fichier contenu dans l'archive :

[kmaster@adsl challenge3]$ file Bob.vmem

Bob.vmem: data

[kmaster@adsl challenge3]$ du -h Bob.vmem

513M Bob.vmem

Le format de fichier n'est pas connu, ce n'est pas une image mémoire VMWare, mais a priori, une capture mémoire d'un ordinateur ayant 512 Mo de mémoire vive. L'utilisation de hexdump pour afficher le contenu de la mémoire nous révèle quelques informations :

[kmaster@adsl challenge3]$ hexdump -C Bob.vmem |less

00000720 32 e4 8a 56 00 cd 13 eb d6 61 f9 c3 49 6e 76 61 |2..V.....a..Inva|

00000730 6c 69 64 20 70 61 72 74 69 74 69 6f 6e 20 74 61 |lid partition ta|

00000740 00 f8 09 00 00 08 00 00 72 20 6c 6f 61 64 69 6e |........r loadin|

00000750 67 20...

Cet article est réservé aux abonnés. Il vous reste 98% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite