Blog ENI : Toute la veille numérique !
💥 Un livre PAPIER acheté
= La version EN LIGNE offerte pendant 1 an !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Investigation numérique Microsoft Windows et GNU/Linux
  3. GNU/Linux : études de cas
Extrait - Investigation numérique Microsoft Windows et GNU/Linux Le guide complet pour l'analyste en investigation numérique
Extraits du livre
Investigation numérique Microsoft Windows et GNU/Linux Le guide complet pour l'analyste en investigation numérique
2 avis
Revenir à la page d'achat du livre

GNU/Linux : études de cas

Introduction

De la même manière que pour le chapitre Microsoft Windows : études de cas, nous avons choisi de présenter deux études de cas pour GNU/Linux. Ces cas sont complémentaires dans l’utilisation des outils, méthodologies et réflexions afin de vous apporter le plus d’éléments possible. Ils s’appuieront sur la méthodologie retenue dans le chapitre Méthodologie et référentiels. Gardez à l’esprit qu’il est relativement difficile d’être exhaustif en si peu de cas, aussi nous tâcherons de les rendre tout de même représentatifs d’une réalité professionnelle.

Étude de cas - DevTeam

1. Contexte

L’entreprise DevTeam, spécialisée dans l’aide à la transition numérique des PME, développe des sites web et applications mobiles pour ses clients. Le 08/12/2021, un des employés découvre en arrivant au bureau que le mot de passe du compte administrateur GitLab a été modifié et que l’ensemble des sources stockées jusqu’à présent sur le serveur ont été supprimées. Deux membres d’une équipe d’investigation numérique mandatée par DevTeam sont envoyés sur site dès le lendemain matin.

Lors de l’interrogatoire, nous avons découvert que l’employé qui a remarqué la suppression de documents sur le serveur de versioning venait d’arriver sur son lieu de travail. Il travaille à distance une partie de la semaine et a convenu avec la direction qu’il pouvait effectuer des tâches de maintenance en dehors des heures de travail habituelles pour réduire l’impact de ses actions.

Heure d’arrivée : 21h00 local

Constat de la suppression : 21h30 local

Nous apprenons également qu’il ne nous est pas possible d’arrêter le serveur et donc d’effectuer un prélèvement de la mémoire de masse. Notre périmètre se limite donc à la mémoire vive et à la copie du répertoire /var contenant la principale source de logs.

2. Prélèvement

Poste

Hash

Nom du prélèvement

Analyste

poste001

56a8e07b1a29a1614d577a7a0936af4e (mémoire vive)

memory-nocompressed-001.dump

Cédric

poste001

40e832e967bf0800a6b84632e460a20 (archive zip)

var.zip

Cédric

Le prélèvement s’est appuyé sur l’outil AVML exécuté depuis une clé USB. Il a été effectué à 10:04 UTC. Les artefacts créés par cette insertion seront donc ignorés par les analystes.

Dans le cas de Linux et Volatility 2.6.x, il faut générer le profil de la machine cible afin d’exploiter le prélèvement de la mémoire vive. Pour cela, référez-vous au chapitre Boîte à outils sur la méthode de création. À noter qu’il...

Étude de cas - Devdown

1. Contexte

L’administrateur système de la société Devdown a observé un comportement qu’il qualifierait d’atypique sur son serveur web le 03/10/2022 lors de sa prise de fonction à 08h00 (local). Il s’agit d’un frontal web vers Internet utilisé pour permettre aux clients de contacter la société et d’échanger sur d’éventuels retours d’expérience relatifs à l’usage de leur produit. Ce serveur est hébergé sur une distribution Ubuntu et connecté au réseau interne de la société.

Peu d’éléments complémentaires tant sur l’activité du serveur que sur les différents acteurs intervenant sur le serveur ont été remontés par l’administrateur système. La notion d’atypique étant pour le moins peu précise, nous procédons avec une approche large afin d’identifier un point d’entrée.

L’absence de contexte, un vocabulaire imprécis... sont le quotidien des analystes. Il faut, lors de l’interrogatoire, poser de nombreuses questions et tenter d’avoir une compréhension de l’incident, et pour cela, il est nécessaire de reformuler les questions avec des éléments nouveaux et de rassurer également les victimes. 

2. Prélèvement

Poste

Hash Ram

Hash Rom

Nom du prélèvement

Nom du prélèvement

Analyste

www

f05bb0c509cc10a0326c5847191d5fae

62faae9aff8a184fc51dd6183ba6df51

devdown-www-db5f3da3.vmem

devdown-www-flat.vmdk

Lilith

Le serveur web est hébergé sur un hyperviseur VMware ESXI. Le prélèvement a consisté à mettre en pause la machine virtuelle et à copier le fichier VMDK ainsi que le fichier VMEM. Il n’y a pas de snapshot sur cette machine virtuelle. Nous avons généré les empreintes numériques et effectué une copie après validation du prélèvement.

3. Analyse

a. Mémoire vive

Nous avons au préalable généré le profil d’après les éléments obtenus sur la version du noyau installé. Nous allons pour cela nous appuyer sur les en-têtes et le fichier System.map. Cette...