Ce livre décrit les techniques et les méthodologies utilisées par les professionnels de l’investigation numérique sur les environnements Microsoft Windows et GNU/Linux. Il a été pensé et conçu pour des professionnels dans le domaine de la réponse à incident et de l’investigation numérique ainsi que pour des passionnés par la cybersécurité, curieux et recherchant une approche théorique et pratique. Le livre propose ces deux types d’approches complémentaires et il s’agit d’un des rares livres...
Ce livre décrit les techniques et les méthodologies utilisées par les professionnels de l’investigation numérique sur les environnements Microsoft Windows et GNU/Linux. Il a été pensé et conçu pour des professionnels dans le domaine de la réponse à incident et de l’investigation numérique ainsi que pour des passionnés par la cybersécurité, curieux et recherchant une approche théorique et pratique. Le livre propose ces deux types d’approches complémentaires et il s’agit d’un des rares livres écrits en français sur ce sujet.
La partie théorique du livre présente de nombreux concepts fondamentaux relatifs aux systèmes d’exploitation et une description des méthodologies régissant l’investigation numérique sur le terrain. Les chapitres détaillent les techniques inhérentes à la réalisation de prélèvements en environnement physique et virtuel ainsi que les particularités des nombreux hyperviseurs. Ces prélèvements seront vérifiés puis rendus accessibles aux analystes via des méthodes détaillées et précises prenant en compte les contraintes imposées par les méthodologies retenues.
Un chapitre est dédié aux outils afin de proposer une référence permettant aux nouveaux analystes comme aux expérimentés de répondre efficacement aux problématiques rencontrées. Les solutions permettant de créer son propre environnement d’analyse et de le déployer sur l’hyperviseur de son choix sont également présentées.
Dans la seconde partie du livre, quatre études de cas illustrent par la pratique les concepts, outils et méthodes présentés dans la première partie.
Avant-propos
À qui s’adresse cet ouvrage ?
Structure et éléments abordés
Méthodologie et référentiels
La menace
Moyens de défense
1. SOC
2. CSIRT/CERT
3. Compléments
Réponse à incident et investigation numérique
1. Réponse à incident
a. NIST
b. SANS Institute
c. PRIS
d. OODA
e. Plan de réponse à incident
2. Investigation numérique
a. Digital Forensic Research Workshop
b. Abstract Digital Forensics Model
c. Integrated Digital Investigation Process
d. Enhanced Digital Investigation Process
e. Méthode retenue
3. Artefacts
Normes et standards
1. Normes
2. Standardisation des échanges
a. Unified Cybersecurity Ontology (UCO)
b. Cyber-investigation Analysis Standard Expression (CASE)
c. Exemple d’utilisation
Références
Les concepts fondamentaux de Microsoft Windows
Introduction
Concepts fondamentaux
1. Les processus
2. La mémoire vive
3. Les partitions
a. BIOS/MBR
b. UEFI/GPT
4. Les systèmes de fichiers
a. NT File System (NTFS)
b. Extended File Allocation Table (exFAT)
5. Fonctionnalités
a. Base de registre
b. Mécanismes de persistance
c. Mécanismes de chiffrement
d. Volume Shadow Copy Service
e. Windows on Windows
f. Sous-système Windows pour Linux
Artefacts
1. Journaux d’événements
a. Fichiers EVTX
b. Event Tracing for Windows
c. Dynamic Tracing
d. Exploitation des EVTX
2. Information sur le système
3. Exécution des programmes
a. Userassist
b. MUICache
c. Prefetch
d. AmCache
e. Shimcache
f. Background Activity Moderator/Desktop ActivityModerator
g. RecentsApps
h. System Resource Usage Monitor
i. Tâches planifiées
j. RunMRU
4. Actions sur les fichiers et répertoires
a. JumpList
b. ShellBags
c. Raccourcis
d. Recent files
e. Last Visited MRU
f. Open/Save MRU
5. Navigateur web
a. Google Chrome
b. Microsoft Internet Explorer/Edge
c. Mozilla Firefox
6. Périphérique USB
7. Réseaux
8. Divers
a. Notifications
b. W10 Timeline
c. Fichiers supprimés
d. Task Bar Feature Usage
e. Search - WorldWheelQuery
f. Microsoft Defender
Références
Les concepts fondamentaux de GNU/Linux
Introduction
Historique
Présentation de GNU/Linux
1. Noyau
2. Processus
3. Mémoire virtuelle
4. Stockage physique des données
5. Gestion par volumes logiques
6. Chiffrement via LUKS
7. Système de fichiers
a. Système de fichiers EXT
b. Autres systèmes de fichiers
c. Système de fichiers virtuel
d. Système de fichiers temporaire
e. Partition d’échange
f. L’arborescence
8. Shells
Artefacts
1. Système
a. Données temporelles
b. Version du système
c. Liste des modules noyau chargés au démarrage
d. Réseau
e. SSH
f. Gestionnaire de paquets
g. SELinux
2. Répertoire et fichiers
3. Utilisateurs
a. L’historique
b. Linux desktop
c. La navigation web
d. Périphérique USB
4. Fichiers de logs
a. Syslog
b. Fichiers intéressants
c. systemd
d. Auditd
e. Services
f. Logs applicatifs
5. Tâches planifiées
Références
Comment effectuer vos prélèvements
Introduction
Prélèvements physiques
1. Organisation
2. Contraintes matérielles
3. Format des prélèvements
4. Réflexions
a. Type de port USB
b. Vitesse des disques de stockage
c. SMART
d. Protection des disques durs et SSD
5. Mémoire vive
a. Environnement Microsoft Windows
b. Environnement GNU/Linux
6. Mémoire de masse
Prélèvements en environnement virtualisé
1. Introduction
2. VMware ESXI
a. Mémoire vive
b. Mémoire de masse
3. Hyper-V
a. Mémoire vive
b. Mémoire de masse
4. Xen
5. KVM/QEMU
Conteneurs
1. Persistance des données
2. Navigation
3. Prélèvement des processus
Triage
1. Live triage
2. Triage post mortem
3. Outils
Bonnes pratiques
Références
Primo analyse
Introduction
Rendre son prélèvement exploitable
1. La mémoire de masse
Analyse par signature
1. IoC
2. Antivirus
3. Base de données d’empreintes numériques
4. YARA et Sigma
Mécanismes anti-forensic
1. Suppression des données
2. Modification des métadonnées
3. Chiffrement des données
4. Manipulation des paramètres du RAID
5. Manipulation des signatures des fichiers
Références
Boîte à outils
Introduction
Collecte
1. Live forensic
a. Cybertriage
b. CyLR
c. DFIR Linux Collector
d. DFIR ORC
e. FastIR artifacts
f. GRR
g. Kroll Artifact Parser and Extractor
h. Linux Explorer
i. osquery
j. Plaso
k. Unix-like Artifacts Collector
l. Velociraptor
2. Mémoire de masse
a. Prélèvement hardware
b. dd/dcfldd/dc3dd
c. ddrescue
d. EnCase EWF
3. Mémoire vive post mortem
a. AVML
b. Belkasoft Live RAM Capturer
c. Dumpit
d. FTK imager
e. LiME
f. Magnet RAM Capture
g. Microsoft LiveKd
h. WinPmem
i. X-Ways Imager
4. Compléments
Examen
1. Chkrootkit
2. ClamAV
3. Hfind
4. Loki et Thor
5. MISP
6. rkhunter
7. Suricata
8. Base de connaissance
a. Analyse des noms de domaines
b. Analyse des e-mails
c. Analyse des adresses IP
d. Analyse des URL
Analyse
1. Autopsy
2. DFTimewolf
3. Freta
4. Hashcat
5. Kuiper
6. swap_digger
7. TAPIR
8. Timesketch
9. Volatility
a. Création d’un profil Windows (Volatility2)
b. Création d’un profil Linux (Volatility3)
c. Plugins
10. Suite logicielle
a. Suite d’outils Didier Stevens
b. pffexport
11. Analyse de la base de registre
12. Analyse des binaires
a. Capa
b. Débogueur/désassembleur
c. Detect-It-Easy
d. PeStudio
e. ViperMonkey
13. Analyse des événements de sécurité
a. Chainsaw
b. Evtx2json
c. EvtxECmd
d. Hayabusa
e. Suite Elastic
f. Splunk
g. Zircolite
Carving
1. Bulk_extractor
2. Extundelete
3. Ext4magic
4. Foremost
5. PhotoRec
6. Scalpel
7. The Sleuth Kit
Rapport
1. DFIR-IRIS
2. OSForensics
Distributions dédiées et personnalisées
1. Bitscout
2. CSI Linux
3. Flare-VM
4. SIFT Workstation
5. Tsurugi
6. WinFE
Création d'un laboratoire et de machines virtuelles personnalisées
1. Solutions existantes
2. Phase 1 : création des modèlesde machines virtuelles
a. Ansible
b. Packer
3. Phase 2 : déploiement des machinesvirtuelles
a. Vagrant
b. Terraform
c. Ansible
Conclusion
Microsoft Windows : études de cas
Introduction
Étude de cas - Orvil
1. Contexte
2. Identification
3. Collecte
4. Examen
5. Analyse
a. Mémoire vive
b. Mémoire de masse
c. Analyse des logs
6. Conclusion
Étude de cas - Devdown
1. Contexte
2. Collecte
3. Poste secrétaire
a. Analyse de la mémoire vive
b. Analyse de la mémoire de masse
c. Analyse des logs
d. Conclusion
4. Serveur Active Directory
a. Analyse des journaux d’événements
b. Analyse de la mémoire vive
5. Conclusion
GNU/Linux : études de cas
Introduction
Étude de cas - DevTeam
1. Contexte
2. Prélèvement
3. Analyse
a. Mémoire vive
b. Logs
4. Conclusion
Étude de cas - Devdown
1. Contexte
2. Prélèvement
3. Analyse
a. Mémoire vive
b. Mémoire de masse
4. Conclusion
Remerciements
Introduction
Alain MENELET
Alain MENELET a été responsable d’équipes de réponse à incident au sein du ministère des armées ainsi que chef de projet d’un SOC, ce qui lui permet d’avoir une vision complète des processus régissant la détection et la réponse à un incident cyber. Il est également l’auteur de nombreux articles et enseigne l’investigation numérique, les stratégies de détection au sein des SOC et l’analyse de malwares. Aujourd’hui responsable du centre d’excellence cyberdéfense dans le domaine aérospatial au sein de l’école de l’Air et de l’Espace, il propose un livre empreint de toute son expertise sur l’investigation numérique en environnement Microsoft Windows et GNU/Linux.