Le CSIRT LEXFO a été sollicité par une société industrielle pour intervenir sur un SI d’environ > 10k serveurs et 400 Active Directory. Une série de webshells avait été détectés sur des serveurs Web exposés sur Internet.
Les objectifs étaient les suivants :
- Comprendre comment les attaquants ont réussi à s’introduire sur le SI
- Remonter le fil d’Ariane et identifier l’ensemble des serveurs compromis en interne
- Évaluer les quantités de documents confidentiels exfiltrés pour évaluer la perte financière
La mission s’est déroulée en plusieurs étapes :
- Analyse de postes de travail et/ou serveurs et collecte d’information
- Corrélation des informations collectées au cours des précédentes analyses dans la solution Splunk
- Création d’alertes de sécurité afin d’identifier dans les logs les différentes actions des attaquants
- Timeline des actions de l’attaquant
- Analyse de malwares