Forensic et Mat [2/2]

Catégorie: Analyse forensique - Difficulté: Facile

Description:

Solution:

Pour ce challenge, nous avons a disposition un nouveau fichier de logs evtx. Ici il faut donc trouver un évènement spécifique qui fait référence à une tentative d'effacement.

J'ai identifié une potentielle action "étrange", ou du moins qui se démarque des autres :

Nous savons donc qu'il s'agit de l'utilisateur svc-x qui a créé un tâche planifiée nommée WinUpdate_Check_75312 afin d'exécuter le script situé ici : C:\Users\svc-x\AppData\Local\Temp\payload.ps1.

Maintenant pour retrouver les infos sur l'utilisateur (IP, Port et Groupe), il faut trouver le moment où il se connecte. Une simple recherche sur le nom d'utilisateur nous permets de trouver cela rapidement :

Il nous manque donc le timestamp d'une tâche. Laquelle, là était toute la question...

Au final, il s'est avéré qu'il fallait renvoyer le timestamp de la création de la tâche planifiée :

• 2025-05-14T18:00:31 <=> 1747245628

Il faut bien faire attention à être en UTC+0 pour la conversion, sinon ça fausse tout nos résultats :

Nous avons donc toutes les parties nécessaires à la validation du challenge :

• IP : 10.66.77.88

• Port : 4444

• User : svc-x

• Taskname : WinUpdate_Check_75312

• Timestamp : 1747245628

• Group : Administrateurs