Voici la configuration de mon LAB au niveau de l’EDR ELK :<\/p>\n\n\n\n
Comme tous les EDR vous pouvez choisir d’\u00eatre en mode D\u00e9tection <\/em>uniquement ou en mode D\u00e9tection et Pr\u00e9vention<\/em>.<\/p>\n\n\n\n J’ai d’abord choisi de tester le mode D\u00e9tection <\/em>uniquement :<\/p>\n\n\n\n <\/p>\n\n\n\n J’ai ensuite activ\u00e9 un maximum de Rules <\/em>:<\/p>\n\n\n\n <\/p>\n\n\n\n Ensuite j’ai d\u00e9ploy\u00e9 l’agent EDR sur une machine Windows 10 :<\/p>\n\n\n\n <\/p>\n\n\n\n Du c\u00f4t\u00e9 de la VM Windows 10, on note la pr\u00e9sence de l’EDR ELK dans les services :<\/p>\n\n\n\n <\/p>\n\n\n\n Afin de ne pas bloquer les beacons de base Cobalt Strike j’ai volontairement d\u00e9sactiv\u00e9 l’antivirus, dans mon cas Windows Defender :<\/p>\n\n\n\n <\/p>\n\n\n\n OK maintenant on pr\u00eat pour les tests.<\/p>\n\n\n\n Je lance mon team server Cobalt Strike et je g\u00e9n\u00e8re un fichier malveillant de type HTA que je d\u00e9pose sur la VM Windows 10 victime :<\/p>\n\n\n\n Maintenant je clique sur evil.hta et je passe du c\u00f4t\u00e9 de l’EDR pour voir ce qu’il se passe : la menace est bien d\u00e9tect\u00e9e, on peut voir les d\u00e9tails de la chaine d’ex\u00e9cution :<\/p>\n\n\n\n <\/p>\n\n\n\n Vu que je suis en mode Detection only <\/em>la connexion entre l’agent Cobalt Strike et mon TeamServer n’est pas coup\u00e9e, je peux donc lancer des commandes \u00e0 distance comme par exemple lister les processus de la machine Windows 10 :<\/p>\n\n\n\n <\/p>\n\n\n\n C\u00f4t\u00e9 EDR je n’ai cependant pas not\u00e9 de d\u00e9tection suppl\u00e9mentaire li\u00e9e \u00e0 cette action..<\/p>\n\n\n\n Faisons un autre test, cette fois en passant en mode Detection and Prevention<\/em> avec notification de l’utilisateur :<\/p>\n\n\n\n <\/p>\n\n\n\n C\u00f4t\u00e9 Cobalt Strike je g\u00e9n\u00e8re cette-fois un beacon http sous forme d’ex\u00e9cutable (artifact.exe) :<\/p>\n\n\n\n <\/p>\n\n\n\n Je d\u00e9pose ensuite cet ex\u00e9cutable sur la VM Windows 10 et pareil je le lance et j’observe, on obtient une nouvelle alerte :<\/p>\n\n\n\n <\/p>\n\n\n\n Et cette fois le beacon Cobalt Strike est stopp\u00e9 dans sa course gr\u00e2ce \u00e0 la pr\u00e9vention, c\u00f4t\u00e9 utilisateur on a bien une notification :<\/p>\n\n\n\n <\/p>\n\n\n\n Ce qui int\u00e9ressant avec ce type de LAB c’est qu’on peut s’en servir comme sandbox pour une analyse dynamique des malwares et observer les feux d’artifice des d\u00e9tections \ud83d\ude42<\/p>\n\n\n\n Voila, ceci conclut cette petite introduction \u00e0 l’EDR ELK Security.<\/p>\n\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":" Ce post est une toute petite introduction \u00e0 l’EDR ELK Security (de la suite Elastic) et un test rapide de d\u00e9tection des beacons standard Cobalt Strike. Il est possible de tester toutes les fonctionnalit\u00e9s de la suite Elastic y compris celles de s\u00e9curit\u00e9 comme le Machine Learning et son EDR pour 30 jours alors let’s … Continuer la lecture de Introduction \u00e0 ELK Security et d\u00e9tection Cobalt Strike<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[],"class_list":["post-963","post","type-post","status-publish","format-standard","hentry","category-malware"],"_links":{"self":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/963","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=963"}],"version-history":[{"count":14,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/963\/revisions"}],"predecessor-version":[{"id":992,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=\/wp\/v2\/posts\/963\/revisions\/992"}],"wp:attachment":[{"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=963"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=963"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hacktarus.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=963"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2022\/03\/ELK-3.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2022\/03\/ELK-5.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2022\/03\/ELK-6.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2022\/03\/W10-1.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2022\/03\/W10-3.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2022\/03\/W10-2.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2022\/03\/ELK-8.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2022\/03\/ELK-9.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2022\/03\/ELK-10.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2022\/03\/CS-2.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2022\/03\/ELK-12.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2022\/03\/CS-3.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2022\/03\/W10-5.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/hacktarus.fr\/wp-content\/uploads\/2022\/03\/W10-6.png\")
<\/figure>\n\n\n\n