University Sétif 1 FERHAT ABBAS Faculty of Sciences
Détail de l'auteur
Auteur Dallal Mayouf |
Documents disponibles écrits par cet auteur
Ajouter le résultat dans votre panier Affiner la recherche
Titre : Patient Zero Detection using Digital Forensics Type de document : texte imprimé Auteurs : Dallal Mayouf, Auteur ; Zibouda Aliouat n´ee Zouaoui, Directeur de thèse Editeur : Setif:UFA Année de publication : 2024 Importance : 1 vol (64 f .) Format : 29 cm Langues : Anglais (eng) Catégories : Thèses & Mémoires:Informatique Mots-clés : Cybersecurity
Cyber Incident
Incident Response
Digital Forensics
Patient Zero
Indicators of Compromise (IoCs)Index. décimale : 004 - Informatique Résumé : This thesis examines critical aspects of cybersecurity, incident response, and digital
forensics, specifically focusing on identifying Patient Zero in cyber incidents. Beginning
with an overview of cybersecurity fundamentals, including common threats and
incident response methodologies, the study explores digital forensics techniques essential
for investigation. The concept of Patient Zero is introduced as pivotal in understanding
the initial compromise point during security breaches. A novel methodology
is proposed for enhancing Patient Zero identification through systematic extraction
and correlation of Indicators of Compromise (IoCs). The practical application of this
methodology is demonstrated through a detailed use case analysis using Velociraptor,
showcasing its efficacy in real-world scenarios. By bridging theory with practical implementation,
this thesis advances incident response strategies by providing a structured
approach to pinpointing the origin of cybersecurity breaches.Note de contenu : Sommaire
Table of contents 2
List of figures 3
List of tables 1
General Introduction 1
1 Cybersecurity and Digital Forensics 2
1.1 CyberSecurity Review . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1.1 What is Cybersecurity . . . . . . . . . . . . . . . . . . . . . . . 3
1.1.2 Cyber threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.1.3 Most Common Attacks . . . . . . . . . . . . . . . . . . . . . . . 4
1.1.4 Cybersecurity Challenges . . . . . . . . . . . . . . . . . . . . . . 6
1.1.5 Security measures . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.1.6 Cyber Incident . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.1.7 Incident Identification . . . . . . . . . . . . . . . . . . . . . . . 9
1.2 Incident Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.2.1 Understanding Incident Response . . . . . . . . . . . . . . . . . 12
1.2.2 Incident Response Stages . . . . . . . . . . . . . . . . . . . . . . 12
1.3 Digital Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.1 Definition and Scope . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.2 Digital Forensics types . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.3 Digital Forensics Process . . . . . . . . . . . . . . . . . . . . . . 15
1.3.4 Key Techniques in Digital Forensics . . . . . . . . . . . . . . . . 16
1.4 Insufficience of remediation in system’s security . . . . . . . . . . . . . 17
2 Patient Zero Identification 18
2.1 Patient Zero Identification Concept . . . . . . . . . . . . . . . . . . . . 19
2.2 Necessary Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.2.1 Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.2.2 Indicators of Compromise . . . . . . . . . . . . . . . . . . . . . 21
2.2.3 IoCs Hunting Challenges and Proposed Solutions . . . . . . . . 23
2.2.4 Direct and Indirect IoCs . . . . . . . . . . . . . . . . . . . . . . 24
2.2.5 Artifacts and related IoCs . . . . . . . . . . . . . . . . . . . . . 25
2.3 Patient Zero Identification methodology . . . . . . . . . . . . . . . . . 26
2.3.1 IoCs Extraction . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.3.2 Timeline and Correlation . . . . . . . . . . . . . . . . . . . . . . 28
2.3.3 Patient Zero Identification . . . . . . . . . . . . . . . . . . . . . 29
2.4 Proposed Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.4.1 IoC Extraction Using Velociraptor . . . . . . . . . . . . . . . . . 30
2.4.2 Timeline and IoC Correlation with Velociraptor . . . . . . . . . 31
2.4.3 Identifying Patient Zero with Velociraptor . . . . . . . . . . . . 32
2.5 A Flexible Roadmap For Each Incident . . . . . . . . . . . . . . . . . . 32
3 Use Case Analysis and Result Discussion 34
3.1 Work Environment and Tools . . . . . . . . . . . . . . . . . . . . . . . 35
3.1.1 Realistic Security Company . . . . . . . . . . . . . . . . . . . . 35
3.1.2 Services and Expertise . . . . . . . . . . . . . . . . . . . . . . . 35
3.1.3 Oracle VM VirtualBox . . . . . . . . . . . . . . . . . . . . . . . 37
3.1.4 Ubuntu Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.1.5 Windows 10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.1.6 Windows Server 2016 . . . . . . . . . . . . . . . . . . . . . . . . 38
3.1.7 Data Exfiltration . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.1.8 OneDrive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.1.9 Velociraptor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.1.10 Realistic Security Artifacts . . . . . . . . . . . . . . . . . . . . . 40
3.1.11 RDP Bitmap Cache Parser . . . . . . . . . . . . . . . . . . . . . 40
3.1.12 RdpCacheStitcher . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.2 Use Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.2.1 Scenario Description . . . . . . . . . . . . . . . . . . . . . . . . 41
3.2.2 Configuration and Setup . . . . . . . . . . . . . . . . . . . . . . 41
3.2.3 Scenario Implementation . . . . . . . . . . . . . . . . . . . . . . 42Côte titre : MAI/0854 Patient Zero Detection using Digital Forensics [texte imprimé] / Dallal Mayouf, Auteur ; Zibouda Aliouat n´ee Zouaoui, Directeur de thèse . - [S.l.] : Setif:UFA, 2024 . - 1 vol (64 f .) ; 29 cm.
Langues : Anglais (eng)
Catégories : Thèses & Mémoires:Informatique Mots-clés : Cybersecurity
Cyber Incident
Incident Response
Digital Forensics
Patient Zero
Indicators of Compromise (IoCs)Index. décimale : 004 - Informatique Résumé : This thesis examines critical aspects of cybersecurity, incident response, and digital
forensics, specifically focusing on identifying Patient Zero in cyber incidents. Beginning
with an overview of cybersecurity fundamentals, including common threats and
incident response methodologies, the study explores digital forensics techniques essential
for investigation. The concept of Patient Zero is introduced as pivotal in understanding
the initial compromise point during security breaches. A novel methodology
is proposed for enhancing Patient Zero identification through systematic extraction
and correlation of Indicators of Compromise (IoCs). The practical application of this
methodology is demonstrated through a detailed use case analysis using Velociraptor,
showcasing its efficacy in real-world scenarios. By bridging theory with practical implementation,
this thesis advances incident response strategies by providing a structured
approach to pinpointing the origin of cybersecurity breaches.Note de contenu : Sommaire
Table of contents 2
List of figures 3
List of tables 1
General Introduction 1
1 Cybersecurity and Digital Forensics 2
1.1 CyberSecurity Review . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1.1 What is Cybersecurity . . . . . . . . . . . . . . . . . . . . . . . 3
1.1.2 Cyber threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.1.3 Most Common Attacks . . . . . . . . . . . . . . . . . . . . . . . 4
1.1.4 Cybersecurity Challenges . . . . . . . . . . . . . . . . . . . . . . 6
1.1.5 Security measures . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.1.6 Cyber Incident . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.1.7 Incident Identification . . . . . . . . . . . . . . . . . . . . . . . 9
1.2 Incident Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.2.1 Understanding Incident Response . . . . . . . . . . . . . . . . . 12
1.2.2 Incident Response Stages . . . . . . . . . . . . . . . . . . . . . . 12
1.3 Digital Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.1 Definition and Scope . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.2 Digital Forensics types . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.3 Digital Forensics Process . . . . . . . . . . . . . . . . . . . . . . 15
1.3.4 Key Techniques in Digital Forensics . . . . . . . . . . . . . . . . 16
1.4 Insufficience of remediation in system’s security . . . . . . . . . . . . . 17
2 Patient Zero Identification 18
2.1 Patient Zero Identification Concept . . . . . . . . . . . . . . . . . . . . 19
2.2 Necessary Knowledge . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.2.1 Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.2.2 Indicators of Compromise . . . . . . . . . . . . . . . . . . . . . 21
2.2.3 IoCs Hunting Challenges and Proposed Solutions . . . . . . . . 23
2.2.4 Direct and Indirect IoCs . . . . . . . . . . . . . . . . . . . . . . 24
2.2.5 Artifacts and related IoCs . . . . . . . . . . . . . . . . . . . . . 25
2.3 Patient Zero Identification methodology . . . . . . . . . . . . . . . . . 26
2.3.1 IoCs Extraction . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.3.2 Timeline and Correlation . . . . . . . . . . . . . . . . . . . . . . 28
2.3.3 Patient Zero Identification . . . . . . . . . . . . . . . . . . . . . 29
2.4 Proposed Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.4.1 IoC Extraction Using Velociraptor . . . . . . . . . . . . . . . . . 30
2.4.2 Timeline and IoC Correlation with Velociraptor . . . . . . . . . 31
2.4.3 Identifying Patient Zero with Velociraptor . . . . . . . . . . . . 32
2.5 A Flexible Roadmap For Each Incident . . . . . . . . . . . . . . . . . . 32
3 Use Case Analysis and Result Discussion 34
3.1 Work Environment and Tools . . . . . . . . . . . . . . . . . . . . . . . 35
3.1.1 Realistic Security Company . . . . . . . . . . . . . . . . . . . . 35
3.1.2 Services and Expertise . . . . . . . . . . . . . . . . . . . . . . . 35
3.1.3 Oracle VM VirtualBox . . . . . . . . . . . . . . . . . . . . . . . 37
3.1.4 Ubuntu Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.1.5 Windows 10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.1.6 Windows Server 2016 . . . . . . . . . . . . . . . . . . . . . . . . 38
3.1.7 Data Exfiltration . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.1.8 OneDrive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.1.9 Velociraptor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.1.10 Realistic Security Artifacts . . . . . . . . . . . . . . . . . . . . . 40
3.1.11 RDP Bitmap Cache Parser . . . . . . . . . . . . . . . . . . . . . 40
3.1.12 RdpCacheStitcher . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.2 Use Case . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.2.1 Scenario Description . . . . . . . . . . . . . . . . . . . . . . . . 41
3.2.2 Configuration and Setup . . . . . . . . . . . . . . . . . . . . . . 41
3.2.3 Scenario Implementation . . . . . . . . . . . . . . . . . . . . . . 42Côte titre : MAI/0854 Exemplaires (1)
Code-barres Cote Support Localisation Section Disponibilité MAI/0854 MAI/0854 Mémoire Bibliothéque des sciences Anglais Disponible
Disponible
