Forensic et Mat [2/2]
Last updated
Was this helpful?
Last updated
Was this helpful?
CatÊgorie: Analyse forensique - DifficultÊ: Facile
Description:
Solution:
Pour ce challenge, nous avons a disposition un nouveau fichier de logs evtx. Ici il faut donc trouver un Êvènement spÊcifique qui fait rÊfÊrence à une tentative d'effacement.
J'ai identifiÊ une potentielle action "Êtrange", ou du moins qui se dÊmarque des autres :
Nous savons donc qu'il s'agit de l'utilisateur svc-x
qui a crÊÊ un tÃĸche planifiÊe nommÊe WinUpdate_Check_75312
afin d'exÊcuter le script situÊ ici :
C:\Users\svc-x\AppData\Local\Temp\payload.ps1.
Maintenant pour retrouver les infos sur l'utilisateur (IP, Port et Groupe), il faut trouver le moment oÚ il se connecte. Une simple recherche sur le nom d'utilisateur nous permets de trouver cela rapidement :
Il nous manque donc le timestamp d'une tÃĸche. Laquelle, là Êtait toute la question...
Au final, il s'est avÊrÊ qu'il fallait renvoyer le timestamp de la crÊation de la tÃĸche planifiÊe :
2025-05-14T18:00:31 <=> 1747245628
Il faut bien faire attention à ÃĒtre en UTC+0 pour la conversion, sinon ça fausse tout nos rÊsultats :
Nous avons donc toutes les parties nÊcessaires à la validation du challenge :
IP : 10.66.77.88
Port : 4444
User : svc-x
Taskname : WinUpdate_Check_75312
Timestamp : 1747245628
Group : Administrateurs