Analyse Forensique : Compromission WK1
Blue Team | Digital Forensics & Incident Response
Windows Forensics
KAPE
Volatility 3
Kill Chain Analysis
Objectif de l'Investigation
Reconstituer la chaîne d'attaque complète sur un poste de travail compromis (WK1). L'analyse visait à identifier le patient zéro, le vecteur d'entrée, les mécanismes de persistance (RAT Sliver/AnyDesk) et les mouvements latéraux vers le contrôleur de domaine.
Compétences Techniques
Collecte & Préservation
Acquisition intègre de la RAM et du disque via FTK Imager. Montage forensique avec Arsenal Image Mounter.
Analyse d'Artefacts
Extraction massive d'artefacts Windows via KAPE. Corrélation temporelle sous Timeline Explorer.
Mémoire & Registre
Analyse des processus injectés (Volatility 3) et extraction des configurations réseau depuis les ruches SYSTEM/SAM.
Analyse de Cas (Méthode STAR)
Focus : Identification de l'Intrusion
S
Situation: Alerte sur une élévation de privilèges anormale dans le domaine ESILV-TP.
T
Tâche: Confirmer la compromission du compte "Thomas" et trouver la source de l'attaque.
A
Action: Analyse des logs et de l'historique PowerShell révélant l'ajout au groupe "Domain Admins".
R
Résultat: Identification formelle de l'attaquant (10.0.0.32) et de son serveur C2.