Projets | Portfolio cybermini

Projets cybersécurité

Actions

Examen de la psychologie des cybercriminels et recherche d'indices de suppression de fichiers et historiques.
Vérification des témoignages en les comparant aux logs et examen de l'accès aux fichiers cachés sous Windows.
Mise en commun des indices de compromission et des détails cachés avec les autres groupes pour accélérer l'avancement.

Thème : analyse forensique

Situation

Après un incident de sécurité virtuel, nous avons analysé les actions des menaces, leurs causes et impacts. L’enquête s’est appuyée sur la mémoire vive, le disque dur et les témoignages du personnel. Des outils comme Autopsy et Volatility ont été utilisés pour collecter les preuves et approfondir les analyses à effectuer au vu de la situation.

Résultats

Identification du chemin d'attaque et des logiciels et adresses suspicieuses utilisés par le hacker.
Familiarisation avec l'outil Autopsy et restauration des indices et traces supprimées.
Collecte réussie de preuves et rédaction du rapport.

Tâches

Examiner les registres, historiques, exécutions de l’attaquant avec Autopsy, ainsi que les tentatives de connexions réseaux et communications.
Analyser les services utilisés, les règles de sécurité custom, les ports non usuels, les journaux systèmes et fichiers modifiés.
Utiliser des scripts Python et Volatility sous Linux pour corréler les fichiers du disque avec les processus en RAM et retracer les actions du hacker.

Actions

Identifier les concepteurs du malware, son incidence et ses différentes occurrences d'utilisation.
Utiliser des machines virtuelles et des outils sandbox pour simuler l'exécution du malware en sécurité, et Volatility pour l'analyse en mémoire vive.
Utiliser des scripts Python pour extraire des données précises dans le cadre de l'analyse complète du code.

Thème : Analyse de malwares

Situation

Nous avons rédigé un rapport détaillé sur le malware njRAT, un trojan aux multiples capacités. Il inclut des analyses statiques, dynamiques, en mémoire et du code source, ainsi que des informations de threat intelligence et des indices de compromission. Le rapport propose également des mesures de protection à adopter en cas d’incident.

Résultats

Découverte des capacités du malware, telles que les commandes à distance, le keylogging, le password-saver et l'effacement du MBR.
Création de nouvelles règles de détection pour les experts en SOC.
Établissement de moyens de mitigation pour contrer ce malware.

Tâches

Analyse technique et historique du malware via les analyses statiques et dynamiques
Examin du malware en mémoire vive, analyser son code source en profondeur, l’exécuter en sandbox et collecter des informations de threat intelligence.
Rédaction des règles YARA et Sigma pour améliorer la détection en SOC, tout en développant des mécanismes de défense en temps réel contre les attaques.

Actions

Évaluation des différentes cibles pour l'exploitation et recherche sur la documentation de PowerView et AdMiner.
Recherches sur la vulnérabilité Zerologon, son utilisation et les outils associés.
Évaluation des éléments susceptibles d'aider dans le processus d'exploitation, comme la forge d'un golden ticket Kerberos.

Thème : Infiltration et exploitation d'un réseau sous AD

Situation

Dans le cadre d'un projet de sécurité réseau et active directory nous avons à effectuer du ethical hacking sur un cible afin d'exploiter des données et effectuer des actions de niveau administarteur . Cette démarche incluait les différentes d'infiltration du réseau , usurpation de la cible et escalade de privilèges

Résultats

Infiltration du domaine réussie, tant en ligne de commande que via RDP.
Escalade de privilèges permettant l'accès aux comptes administrateurs et au contrôleur de domaine.
Possibilité de poursuivre l'exploitation avec des malwares et logiciels pour des exécutions à distance.

Tâches

Reconnaissance et infiltration rdp via un password-spraying sur les comptes utilisateurs présents.
Comparer les chemins d'attaque accessibles au sein du domaine entre AdMiner et Bloodhound,afin d'exploiter les droits et permissions .
Utiliser des hash, autres credentials et PowerView sous Kali pour exploiter un compte administrateur et user de la vulnérabilité Zerologon.

Actions

Renseignements additionnels sur les sockets de communication en Python et tests réseau pour établir la connexion via l'adresse IP et le port.
Test d'intégrité des fichiers par rapport à leur contenu.
Test de persistance du fichier et transmission aux redémarrages, ainsi qu'aux cas où un support amovible est branché à la machine affectée.

Thème : Développement d'un rootkit

Situation

Nous avons développé un rootkit en Python pour récolter des informations et effectuer des actions sur une cible. Ce programme permet de surveiller la cible à distance, d'exploiter son terminal et de récupérer des fichiers de manière furtive et discrète. Afin de réaliser cela un cadre sur , des règles et python ont été nécessaires.

Résultats

Succès de l'infiltration et de l'exécution de la cible
Discrétion respectée lors du processus via les configurations de persistance et modifications du registre
Propagation du malware via les périphériques amovibles assurée

Tâches

Établissement de la connexion et gestion des ports, ainsi que l'envoi et l'interprétation des commandes du serveur au client.
Réception et envoi de fichiers entre le serveur et le client, et maintien de la persistance du malware après redémarrage.
Création d'une backdoor supplémentaire pour un accès furtif afin d'accéder ç la cible en cas de compor.

Actions

Examen de la psychologie des cybercriminels
Recherche d'indices de suppression de fichiers , historiques
Examen des témoignages et vérification de la concordance avec les différents logs et review de l'accès aux fichiers cachés sous windows
Mise en commun des indices compromissions et détails cachés avec les autres groupes afin d'avancer plus rapidement

Thème : analyse forensique

Tâches

Examiner les registres , historiques et exécutions de l’attaquant avec l’outil Autopsy
Examiner les tentatives de connexions réseaux et autres communications qui ont eu lieu
Examiner les services récemment utilisés , les règles de sécurité custom ainsi que les ports non usuels
Analyser les journaux systèmes et fichiers modifiés
Créer de scripts python afin d'effectuer une corrélation entre les fichiers et métadonnées du disque et les processus et données en ram
Examen des processus et malwares cachés en mémoire avec volatility sous linux
Retracer la logique et les actions du hacker

Situation

Après un incident de sécurité virtuel il nous a été confié la tâche d'effectuer un rapport sur les détails des actions des acteurs de menaces , causes , impacts et preuves . Afin de réaliser cela plusieurs pistes nous ont été fournies notamment la mémoire vive , le disque ainsi que les témoignages des victimes du personnel de l'entreprise cible . Dans ce contexte nous étions autorisé à faire usage de usé d'outils tels que autopsy et volatility

Résultats

Identification du chemin d'attaque utilisé par le hacker
Identification des différents logiciels et adresses suspicieuses usées par l'acteur de menace
Familiarisation à l'outil autopsy
Restauration des indices et traces supprimées
Collecte réussie de preuves et rapport

Actions

Identification des concepteurs du malware et de l'incidence et les différentes occurences d'utilisations
Usage de machines virtuelles et d'outils sandbox afin de simuler l'éxécution du malware en sécurité
Usage de volatility pour l'analyse en mémoire vive
Scripting python afin d'extraire des données plus précise dans le cadre de l'analyse de code complète

Thème : Analyse de malwares

Tâches

Identifier les capacités technique et le contexte historique du malware
Effectuer les analyses statique et dynamique avancées sur le malware
Effectuer l'analyse en mémoire vive , du code source complet et en sandbox du malware
Recueillir des éléments de threat intelligence relatif à la démarche suivie par le malware dans son exécution
Ecrire de règles yara pour une meilleure détection en environnement SOC
Rédiger le contexte d'utilisation de règles sigma pour une meilleure réactivité à ce type d'incident en soc
Rédiger de mécanismes de défense face à l'apparition de ce malware en temps réel

Situation

Nous avons eu a effectuer un rapport complet d'analyse malware avancé sur le virus njRAT . Un trojan ayant divers capacités. Ce rapport devait porter sur divers points dont les différentes analyses (statique , dynamique , en mémoire , du code source ) la threat intelligence relative avec des indices de compromissions ainsi que les éventuels mécanismes de protection que l'on pourrait mettre en place en cas d'incident .

Résultats

Découverte des capacité du malware (Commandes à distances , keylogging, password-saver , effacement du MBR)
Nouvelles règles de détection permettant de détecter ce malware pour les experts en SOC
Etablissements de moyens de mitigations face à ce malwares

Actions

Evaluation des différentes cibles dans le cadre de l'exploitation
Renseignements sur la documentation de PowerView, de AdMiner
Recherches sur les détails de la vulnérabilité zerologon , son utilisation et les outils utilisés
Evaluation des différents élements susceptible d'aider dans le processus d'exploitation ( forge d'un golden ticket kerberos)

Thème : Infiltration et exploitation d'un réseau sous AD

Tâches

Effectuer une reconnaissance du réseau ainsi qu'un password-sparying sur les comptes users présent
Exploiter un accès rdp , générer un rapport sur les membres, politiques des groupes, les informations sur les sessions utilisateurs et les permissions ACL à l'aide de bloddhound
Exploiter des droits et permissions des différents utilisateurs à partir du chemin d'attaque menant aux administrateurs du domaine
Comparer des chemins d'attaque accessibles au sein du domaine entre celui généré par AdMiner et Bloodhound
Exploiter un compte Administrateur à l'aide de hash , autres credentials et PowerView sous kali afin de changer le mot de passe , usage de la vulnérabilité zerologon

Situation

Dans le cadre d'un projet de sécurité réseau et active directory nous avons à effectuer du ethical hacking sur un cible afin d'exploiter des données et effectuer des actions de niveau administarteur . Cette démarche incluait les différentes d'infiltration du réseau , usurpation de la cible et escalade de privilèges

Résultats

Infiltration du domaine réussie aussi bien en ligne de commande que via rdp
Escalade de privilèges réussie nous permettant d'avoir accès à des comptes administrateurs mais aussi au domain controller
Possibilité de poursuivre l'exploitation à l'aide de malwares et d'autres logiciels permettant des exécutions à distance

Actions

Renseignements additionnels sur les sockets de communication en python
Tests réseau relatifs à l'établissement de connexion relatif à l'adresse ip et le port
Test d'intégrité des fichiers par rapport à leur contenu
Test de persistance du fichier et de transmission aux redémarrages et aux cas où un support amovible se retrouve branché à la machine initialement affectée

Thème : Développement d'un rootkit

Tâches

Fonctionnalité relative à l'établissement de la connexion et le port
Fonctionnalité relative à l'envoi et l'interprétation des commandes du serveur au client
Fonctionnalité relative à la réception de fichiers du clients mais aussi l'envoi de fichiers du serveur vers le client
Fonctionnalité relative à la persistance afin de conserver le malware aux redémarrages et garder les fichiers concernés cachés
Fonctionnalité relative à l'établissement d'une backdoor supplémentaire

Situation

Afin de récolter des informations et effectuer des actions à l'issue d'une cible nous avons été chargé du développement d'un rootkit. Un rootkit étant en général un programme malveillant permettant de surveiller une cible à distance et effectuer des actions de manière furtive. Il nous permettrait d'accéder à la cible , exploiter son terminal , récupérer des fichiers et ceci de manière discrète . Ce malware a été développé en python.

Résultats

Succès de l'infiltration et de l'exécution de la cible sur la cible
Discrétion respectée du fait que on a pu se connecter , se déconnecter et reprendre le cycle sans détection des mécanismes de sécurité de la cible
Transfert du malware aux supports amovibles connectés

Actions

Examen de la psychologie des cybercriminels
Recherche d'indices de suppression de fichiers , historiques
Examen des témoignages et vérification de la concordance avec les différents logs et review de l'accès aux fichiers cachés sous windows
Mise en commun des indices compromissions et détails cachés avec les autres groupes afin d'avancer plus rapidement

Thème : analyse forensique

Situation

Après un incident de sécurité virtuel il nous a été confié la tâche d'effectuer un rapport sur les détails des actions des acteurs de menaces , causes , impacts et preuves . Afin de réaliser cela plusieurs pistes nous ont été fournies notamment la mémoire vive , le disque ainsi que les témoignages des victimes du personnel de l'entreprise cible . Dans ce contexte nous étions autorisé à faire usage de usé d'outils tels que autopsy et volatility

Résultats

Identification du chemin d'attaque utilisé par le hacker
Identification des différents logiciels et adresses suspicieuses usées par l'acteur de menace
Familiarisation à l'outil autopsy
Restauration des indices et traces supprimées
Collecte réussie de preuves et rapport

Tâches

Examiner les registres , historiques et exécutions de l’attaquant avec l’outil Autopsy
Examiner les tentatives de connexions réseaux et autres communications qui ont eu lieu
Examiner les services récemment utilisés , les règles de sécurité custom ainsi que les ports non usuels
Analyser les journaux systèmes et fichiers modifiés
Créer de scripts python afin d'effectuer une corrélation entre les fichiers et métadonnées du disque et les processus et données en ram
Examen des processus et malwares cachés en mémoire avec volatility sous linux
Retracer la logique et les actions du hacker

Actions

Identification des concepteurs du malware et de l'incidence et les différentes occurences d'utilisations
Usage de machines virtuelles et d'outils sandbox afin de simuler l'éxécution du malware en sécurité
Usage de volatility pour l'analyse en mémoire vive
Scripting python afin d'extraire des données plus précise dans le cadre de l'analyse de code complète

Thème : Analyse de malwares

Situation

Nous avons eu a effectuer un rapport complet d'analyse malware avancé sur le virus njRAT . Un trojan ayant divers capacités. Ce rapport devait porter sur divers points dont les différentes analyses (statique , dynamique , en mémoire , du code source ) la threat intelligence relative avec des indices de compromissions ainsi que les éventuels mécanismes de protection que l'on pourrait mettre en place en cas d'incident .

Résultats

Découverte des capacités du malware, telles que les commandes à distance, le keylogging, le password-saver et l'effacement du MBR.
Création de nouvelles règles de détection pour les experts en SOC.
Établissement de moyens de mitigation pour contrer ce malware.

Tâches

Identifier les capacités technique et le contexte historique du malware
Effectuer les analyses statique et dynamique avancées sur le malware
Effectuer l'analyse en mémoire vive , du code source complet et en sandbox du malware
Recueillir des éléments de threat intelligence relatif à la démarche suivie par le malware dans son exécution
Ecrire de règles yara pour une meilleure détection en environnement SOC
Rédiger le contexte d'utilisation de règles sigma pour une meilleure réactivité à ce type d'incident en soc
Rédiger de mécanismes de défense face à l'apparition de ce malware en temps réel

Actions

Evaluation des différentes cibles dans le cadre de l'exploitation
Renseignements sur la documentation de PowerView, de AdMiner
Recherches sur les détails de la vulnérabilité zerologon , son utilisation et les outils utilisés
Evaluation des différents élements susceptible d'aider dans le processus d'exploitation ( forge d'un golden ticket kerberos)

Thème : Infiltration et exploitation d'un réseau sous AD

Situation

Dans le cadre d'un projet de sécurité réseau et active directory nous avons à effectuer du ethical hacking sur un cible afin d'exploiter des données et effectuer des actions de niveau administarteur . Cette démarche incluait les différentes d'infiltration du réseau , usurpation de la cible et escalade de privilèges

Résultats

Infiltration du domaine réussie aussi bien en ligne de commande que via rdp
Escalade de privilèges réussie nous permettant d'avoir accès à des comptes administrateurs mais aussi au domain controller
Possibilité de poursuivre l'exploitation à l'aide de malwares et d'autres logiciels permettant des exécutions à distance

Tâches

Effectuer une reconnaissance du réseau ainsi qu'un password-sparying sur les comptes users présent
Exploiter un accès rdp , générer un rapport sur les membres, politiques des groupes, les informations sur les sessions utilisateurs et les permissions ACL à l'aide de bloddhound
Exploiter des droits et permissions des différents utilisateurs à partir du chemin d'attaque menant aux administrateurs du domaine
Comparer des chemins d'attaque accessibles au sein du domaine entre celui généré par AdMiner et Bloodhound
Exploiter un compte Administrateur à l'aide de hash , autres credentials et PowerView sous kali afin de changer le mot de passe , usage de la vulnérabilité zerologon

Actions

Renseignements additionnels sur les sockets de communication en python
Tests réseau relatifs à l'établissement de connexion relatif à l'adresse ip et le port
Test d'intégrité des fichiers par rapport à leur contenu
Test de persistance du fichier et de transmission aux redémarrages et aux cas où un support amovible se retrouve branché à la machine initialement affectée

Thème : Développement d'un rootkit

Situation

Afin de récolter des informations et effectuer des actions à l'issue d'une cible nous avons été chargé du développement d'un rootkit. Un rootkit étant en général un programme malveillant permettant de surveiller une cible à distance et effectuer des actions de manière furtive. Il nous permettrait d'accéder à la cible , exploiter son terminal , récupérer des fichiers et ceci de manière discrète . Ce malware a été développé en python.

Résultats

Infiltrations et exécutions résuiies Succès de l'infiltration et de l'exécution de la cible sur la cible
Discrétion respectée du fait que on a pu se connecter , se déconnecter et reprendre le cycle sans détection des mécanismes de sécurité de la cible
Transfert du malware aux supports amovibles connectés

Tâches

Fonctionnalité relative à l'établissement de la connexion et le port
Fonctionnalité relative à l'envoi et l'interprétation des commandes du serveur au client
Fonctionnalité relative à la réception de fichiers du clients mais aussi l'envoi de fichiers du serveur vers le client
Fonctionnalité relative à la persistance afin de conserver le malware aux redémarrages et garder les fichiers concernés cachés
Fonctionnalité relative à l'établissement d'une backdoor supplémentaire

Projets réseaux

Thème : Mise en plage d'une topologie réseau sécurisée

Situation

Dans le contexte d'un projet scolaire nous avons eu a concevoir une architecture réseau visant à améliorer le control sur le réseau le sécuriser et et permettre la translation d'adresses .

Tâches

Conception et implémentation du réseau avec Packet Tracer
Configuration de VLAN, du NAT et de la redirection de port
Configuration du serveur AAA pour l’authentification locale

Actions

Identification des vlan les plus importants et leur besoins
Choix de mot de passe robuste pour l'authentification
Choix des bonnes ranges pour les adresses IP

Résultats

amélioration de la sécurité en place de 15%
amélioration de l'efficience sur le réseau grâce a l'allocation spécifique de ressources aux vlan

Thème : FAI & Firewalls

Situation

Dans le contexte d'un projet scolaire nous avons eu a concevoir une architecture réseau visant à lier différents fournisseurs d'accès internet et mettre en place la translation d'adresses à effectuer , le routage ainsi que la sécurité nécessaire sur l'ensemble du projet améliorer le control sur le réseau le sécuriser et et permettre la translation d'adresses .

Tâches

Conception et mise en place du réseau avec Gns3 et Qemu
Adressage IP des équipements du réseau
Configuration des règles DNAT, SNAT , via iptables et application de ces règles aux interfaces
Configuration de serveurs DHCP

Actions

Usage de GNS3 pour l'architecture et de QEMU pour les machines virtuelles
Lecture de la documentation sur iptables pour plus de détails et un usage automatisé de commandes
Usage de ipcalc pour faciliter les calculs et subdivisons de réseaux

Résultats

Blocage de la communication non destinée aux serveurs web et ayant pour source le réseau public et destination le réseau privé
Translation d'adresses et effectivité des règles réussie aussi bien dnat , snat , icmp et celles implicites

Thème : mise en place d'une pki pour la sécurisation de connexions https

Situation

Dans le contexte d'un projet scolaire nous avons eu a mettre en place un PKI ( Public Key Infrastructure) dans le cadre de la gestion de certificats numériques et l'authentification de serveurs et autres périphérique de communication dédiés .

Tâches

Génération d'une paire de clé pour le serveur , de son certificat et de la requête de demande de signature par l'AC (autorité de certification)
Génération d'une paire de clé pour le client , de son certificat et de la requête de demande de signature par l'AC (autorité de certification)
Génération du certificat de l'AC et de sa clé privée
Configuration d'un serveur nginx afin qu'il utilise la pki pour les connexions https
Génération d'une CRL (Certificate Revocation List )pour vérifier l'état de validité des certificats

Actions

Renseignements sur la documentation openssl au sujet de la génération de commande relatives aux certificats et CRL
Renseignements sur l'application de la pki aux connexions https
Tests sur la validité des clés générées via leur hash

Résultats

Sécurisation des connexions https
Gestion de la confiance et des certificats reconnue
Gestion des accès sécurisée

Projets Devops

Download free image of Digital grid technology background in purple tone by Hein about bac

Thème : Implémenter un système de gestion de parc

Situation

Tâches

Afin d'assurer une meilleure gestion du parc informatique d'une entreprise fictive nous avons été chargé de mettre en place une stack usant glpi et joomla pour la gestion et d'autres conteneurs pour des services distincts notamment mariadb et phpmyadmin

Ecrire de dockerfile pour le conteneur de GLPI
Ecrire de dockerfile pour la base de donnée Mariadb et sa gestion avec PMA
Mettre en place Joomla pour gérer le contenu
orchestrer avec docker-compose

Actions

Résultats

Identification des différents conteneurs nécessaires à l'inter-opération
Renseignements sur les images et arguments disponible pour la personnalisation des dockerfiles

simplifiant la gestion des stacks de 40%
Gain de temps en comparaison à une mise en place traditionnelle

Ansible-Automatisierung_ Von einfachem Ansible zu Ansible Tower und Semaphore.jpg

Automatisation des processus et opérations

Situation

Tâches

Dans le contexte d'une entreprise fictive nous avons été chargé en tant qu'administrateur système et réseau de concevoir des scripts permettant de partager des clés ssh, redémarrer des machines périodiquement , vérifier les incidents potentiels

Rédiger des scripts bash pour le partage de clés publiques et opérations de prise en main à distance de périphériques
Écrire des scripts python afin d’exécuter des analyses de logs et exporter les résultats

Actions

Résultats

Récolte d'informations sur les plages d'adresses , les mots de passe et comptes
Vérification de la connectivité des équipements visant l'intervention à distance
Test des scripts et des cas d'erreurs rencontrés

Réduction des interventions de 50%
Exécution automatique de tâches nécessitant précédemment l'intervention humaine
Identification des comportements et personnes à risque suite à l'analyse des logs

Thème : Implémenter un chat professionnel avec synapse

Situation

Tâches

Dans le cadre d'une collaboration plus simple entre le personnel d'une entreprise , un chat professionnel est nécessaire . Afin de le réaliser les technologies précisées furent docker , un serveur synapse , postgre et Traefik pour la sécurisation https.

Rédiger un dockerfile pour le container du serveur synapse à des fins de communications
Écrire un dockerfile pour le container de postgre SQL afin de gérer la base de donnée
Rédiger un docker-compose dans le cadre du déploiement avec Traefik

Actions

Résultats

Renseignements sur l'installation et les configurations de serveurs synapse
Personnalisation des conteneurs via dockerfile pour concorder aux spécificités demandées
Renseignements via des vidéos youtubes concernant l'utilisation et l'application de Traefik

Simplification de la gestion de la stack de 20%
Communication en temps réelle réussie
Maintient de la confidentialité et de la sécurité des connexions réalisées

Projets Devops

Thème : Implémenter un système de gestion de parc

Situation

Tâches

Afin d'assurer une meilleure gestion du parc informatique d'une entreprise fictive nous avons été chargé de mettre en place une stack usant glpi et joomla pour la gestion et d'autres conteneurs pour des services distincts notamment mariadb et phpmyadmin

Création du dockerfile pour GLPI
Dockerfile pour mariadb et PMA
Mise en place de joomla et orchestration abvec docker-compose

Thème : Implémenter un système de gestion de parc

Actions

Résultats

Identification des différents conteneurs nécessaires à l'inter-opération
Renseignements sur les images et arguments disponible pour la personnalisation des dockerfiles
Documentation sur docker

Simplification la gestion des stacks de 40%
Gain de temps en comparaison à une mise en place traditionnelle

Automatisation des processus et opérations

Situation

Tâches

Dans le contexte d'une entreprise fictive nous avons été chargé en tant qu'administrateur système et réseau de concevoir des scripts permettant de partager des clés ssh, redémarrer des machines périodiquement , vérifier les incidents potentiels

Rédiger des scripts bash pour le partage de clés publiques et opérations de prise en main à distance de périphériques
Écrire des scripts python afin d’exécuter des analyses de logs et exporter les résultats

Automatisation des processus et opérations

Actions

Résultats

Rédiger des scripts bash pour le partage de clés publiques et opérations de prise en main à distance de périphériques
Écrire des scripts python afin d’exécuter des analyses de logs et exporter les résultats

Réduction des interventions de 50%
Exécution automatique de tâches précédemment manuelles
Identification des comportements et personnes à risque suite à l'analyse des logs

Thème : Implémenter un chat professionnel avec synapse

Situation

Tâches

Dans le cadre d'une collaboration plus simple entre le personnel d'une entreprise , un chat professionnel est nécessaire . Afin de le réaliser les technologies précisées furent docker , un serveur synapse , postgre et Traefik pour la sécurisation https.

Rédaction de dockerfiles pour le serveur synapse et postgre SQL pour les communications mais aussi la gestion de la base de donnée
Rédiger un docker-compose dans le cadre du déploiement avec Traefik

Thème : Implémenter un chat professionnel avec synapse

Actions

Résultats

Documentation sur l'installation et la configuration de synapse
Personnalisation des conteneurs pour concorder aux spécificités demandés via le dockerfile
Tutoriels vidéo YouTube sur l'application de Traefik.

Simplification de la gestion de la stack de 20%
Communication en temps réelle réussie
Maintient de la confidentialité et de la sécurité des connexions réalisées

Projets Devops

Thème : Mise en plage d'une topologie réseau sécurisée

Situation

Dans le contexte d'un projet scolaire nous avons eu a concevoir une architecture réseau visant à améliorer le control sur le réseau le sécuriser et et permettre la translation d'adresses .

Tâches

Conception et implémentation du réseau avec Packet Tracer
Configuration de VLAN, du NAT et de la redirection de port
Configuration du serveur AAA pour l’authentification locale

Actions

Identification des vlan les plus importants et leur besoins
Choix de mot de passe robuste pour l'authentification
Choix des bonnes ranges pour les adresses IP

Résultats

amélioration de la sécurité en place de 15%
amélioration de l'efficience sur le réseau grâce a l'allocation spécifique de ressources aux vlan

Projets réseaux

Thème : FAI & Firewalls

Situation

Dans un projet scolaire, nous avons conçu une architecture réseau intégrant plusieurs FAI, avec translation d’adresses, routage et sécurité renforcée.

Tâches

Conception et mise en place du réseau avec Gns3 et Qemu
Configuration an des règles DNAT, SNAT , via iptables et application de ces règles aux interfaces
Configuration de serveurs DHCP

Actions

Usage de GNS3 pour l'architecture et de QEMU pour les machines virtuelles
Documentation sur iptables pour l'emploi de commandes automatisées
Usage de ipcalc pour faciliter les calculs et subdivisons de réseaux

Résultats

Blocage de la communication non destinée aux serveurs web et ayant pour source le réseau public et destination le réseau privé
Translation d'adresses et effectivité des règles réussie aussi bien dnat , snat , icmp et celles implicites

Projets réseaux

Thème : mise en place d'une pki pour la sécurisation de connexions https

Situation

Dans le cadre d'un projet scolaire, nous avons mis en place un PKI (Public Key Infrastructure) pour la gestion des certificats numériques et l'authentification des serveurs et périphériques.

Tâches

Création des clés et certificats du client , serveur , de l'AC
Mise en place du serveur nginx
Configuration du serveur Nginx pour l'usage de la PKI et génération d'une CRL pour vérifier la validité des certificats.

Actions

Documentation sur openssl au sujet des certificats et CRL
Renseignements sur l'application de la pki aux connexions https
Tests sur la validité des clés générées via leur hash

Résultats

Sécurisation des connexions https
Gestion de la confiance et des certificats reconnue
Gestion des accès sécurisée

Projets réseaux

Situation

Après un incident de sécurité virtuel il nous a été confié la tâche d'effectuer un rapport sur les détails des actions des acteurs de menaces , causes , impacts et preuves . Afin de réaliser cela plusieurs pistes nous ont été fournies notamment la mémoire vive , le disque ainsi que les témoignages des victimes du personnel de l'entreprise cible . Dans ce contexte nous étions autorisé à faire usage de usé d'outils tels que autopsy et volatility

Thème : analyse forensique

Tâches

Examiner les registres , historiques et exécutions de l’attaquant avec l’outil Autopsy
Examiner les tentatives de connexions réseaux et autres communications qui ont eu lieu
Examiner les services récemment utilisés , les règles de sécurité custom ainsi que les ports non usuels
Analyser les journaux systèmes et fichiers modifiés
Créer de scripts python afin d'effectuer une corrélation entre les fichiers et métadonnées du disque et les processus et données en ram
Examen des processus et malwares cachés en mémoire avec volatility sous linux
Retracer la logique et les actions du hacker

Actions

Examen de la psychologie des cybercriminels
Recherche d'indices de suppression de fichiers , historiques
Examen des témoignages et vérification de la concordance avec les différents logs et review de l'accès aux fichiers cachés sous windows
Mise en commun des indices compromissions et détails cachés avec les autres groupes afin d'avancer plus rapidement

Résultats

Identification du chemin d'attaque utilisé par le hacker
Identification des différents logiciels et adresses suspicieuses usées par l'acteur de menace
Familiarisation à l'outil autopsy
Restauration des indices et traces supprimées
Collecte réussie de preuves et rapport

Situation

Nous avons eu a effectuer un rapport complet d'analyse malware avancé sur le virus njRAT . Un trojan ayant divers capacités. Ce rapport devait porter sur divers points dont analyse statique , dynamique , forensique , mécanismes de protection et threat intelligence

Thème : Analyse de malwares

Tâches

Identification technique des capacités et due du malware
Analyse statique et dynamique avancée sur le malware
Analyse en mémoire vive et sandbox du malware
Recueil des éléments de threat intelligence relatif à la démarche suivie par le malware dans son exécution
Ecriture de règles yara pour une meilleure détection en environnement SOC

Actions

Identification des concepteurs du malware et de l'incidence et les différentes occurences d'utilisations
Usage de machines virtuelles et d'outils sandbox afin de simuler l'éxécution du malware en sécurité
Usage de volatility pour l'analyse en mémoire vive

Résultats

Découverte des capacité du malware (Commandes à distances , keylogging, password-saver , effacement du MBR)
Nouvelles règles de détection permettant de détecter ce malware pour les experts en SOC

Situation

Dans le cadre d'un projet de sécurité réseau et active directory nous avons à effectuer du ethical hacking sur un cible afin d'exploiter des données et effectuer des actions de niveau administarteur . Cette démarche incluait les différentes d'infiltration du réseau , usurpation de la cible et escalade de privilèges

Thème : Infiltration et exploitation d'un réseau sous AD

Tâches

Effectuer une reconnaissance du réseau , identification des cibles sur les différents comptes afin d'en exploiter un (password-spray)
Exploiter un accès rdp à l'aide des credentials et du compte compromis et génération d'un rapport sur les membres, politiques des groupes, les informations sur les sessions utilisateurs et les permissions ACL
Exploiter des droits et permissions des différents utilisateurs à partir du chemin d'attaque menant aux administrateurs du domaine
Recherche d'ACL critique via PowerView
Comparer des chemins d'attaque accessibles au sein du domaine entre celui généré par AdMiner et Bloodhound
Exploiter un compte Administrateur à l'aide de hash , autres credentials et PowerView sous kali afin de changer le mot de passe
Exlpoiter de la vulnérabilité zerologon impactant le domain controler

Actions

Evaluation des différentes cibles dans le cadre de l'exploitation
Renseignements sur la documentation de PowerView, de AdMiner
Recherches sur les détails de la vulnérabilité zerologon , son utilisation et les outils utilisés
Evaluation des différents élements susceptible d'aider dans le processus d'exploitation ( forge d'un golden ticket kerberos)

Résultats

Infiltration du domaine réussie aussi bien en ligne de commande que via rdp
Escalade de privilèges réussie nous permettant d'avoir accès à des comptes administrateurs mais aussi au domain controller
Possibilité de poursuivre l'exploitation à l'aide de malwares et d'autres logiciels permettant des exécutions à distance

Situation

Afin de récolter des informations et effectuer des actions à l'issue d'une cible nous avons été chargé du développement d'un rootkit nous permettant d'accéder à la cible , exploiter son terminal , récupérer des fichiers et ceci de manière discrète . Ce malware a été développé en python.

Thème : Développement d'un rootkit

Tâches

Fonctionnalité relative à l'établissement de la connexion et le port
Fonctionnalité relative à l'envoi et l'interprétation des commandes du serveur au client
Fonctionnalité relative à la réception de fichiers du clients mais aussi l'envoi de fichiers du serveur vers le client
Fonctionnalité relative à la persistance afin de conserver le malware aux redémarrages et garder les fichiers concernés cachés
Fonctionnalité relative à l'établissement d'une backdoor supplémentaire

Actions

Renseignements additionnels sur les sockets de communication en python
Tests réseau relatifs à l'établissement de connexion relatif à l'adresse ip et le port
Test d'intégrité des fichiers par rapport à leur contenu
Test de persistance du fichier et de transmission aux redémarrages et aux cas où un support amovible se retrouve branché à la machine initialement affectée

Résultats

Succès de l'infiltration et de l'exécution de la cible sur la cible
Discrétion respectée du fait que on a pu se connecter , se déconnecter et reprendre le cycle sans détection des mécanismes de sécurité de la cible
Transfert du malware aux supports amovibles connectés