help/content/exercices/Trampoline.md

---
date: 2023-03-24T13:34:21+01:00
title: Trampoline
---

Vous allez modifier un antivirus pour laisser passer votre propre cheval de Troie !
C’est le moment de bidouiller ClamAV.

Ou vous pouvez exploiter un antivirus, à vous de voir. 

{{% tag %}}Antivirus{{% /tag %}}

Contexte du défi
----------------

Un PC est compromis par un ransomware.
Pourtant, l’antivirus est censé bloquer ce malware sorti il y a déjà quelques temps… Vous investiguez

Infrastructure à mettre en place
--------------------------------

Libre.
Quelques exemples : 
- Un routeur sous openBSD
- Un serveur de mail
- Un poste d’un particulier

Pas-à-pas
---------

Vous devez modifier un antivirus (opensource) ou compromettre un antivirus déjà en place.

L’antivirus modifié ou compromis laisse passer le malware.

Risques
-------

Trouver une compromission d’antivirus est plus difficile que de modifier un antivirus open source. Il faut aussi trouver la bonne version de l’antivirus

Dans le cas d’une modification d’un antivirus, il faut lire un minimum de code pour comprendre vaguement son fonctionnement. 

Traces à enregistrer
--------------------

Fichiers à fournir :
- Dump de RAM
- Dump Filesystem 
- Logs système (dont antivirus)

Questions à poser :
- Implementation de l’antivrus
- Pourquoi le malware est passé 
- Impact de l’antivirus sur le système

Liens
-----

[Clamav open-source](antivirus (https://docs.clamav.net/manual/Installing/Installing-from-source-Unix.html)

[Windows CVE-2021-31985](https://www.pixiepointsecurity.com/blog/nday-cve-2021-31985.html) (Si vous arrivez à le faire fonctionner…)
-												Add exercices samples

											
										
										
											2023-04-12 10:49:33 +00:00
+								---
 								date: 2023-03-24T13:34:21+01:00
 								title: Trampoline
 								---
 								Vous allez modifier un antivirus pour laisser passer votre propre cheval de Troie !
 								C’est le moment de bidouiller ClamAV.
-												Orthograf & fixes

											
										
										
											2023-04-12 11:44:36 +00:00
+								Ou vous pouvez exploiter un antivirus, à vous de voir.
-												Add exercices samples

											
										
										
											2023-04-12 10:49:33 +00:00
 								{{% tag %}}Antivirus{{% /tag %}}
 								Contexte du défi
 								----------------
 								Un PC est compromis par un ransomware.
-												Orthograf & fixes

											
										
										
											2023-04-12 11:44:36 +00:00
+								Pourtant, l’antivirus est censé bloquer ce malware sorti il y a déjà quelques temps… Vous investiguez
-												Add exercices samples

											
										
										
											2023-04-12 10:49:33 +00:00
 								Infrastructure à mettre en place
 								--------------------------------
 								Libre.
 								Quelques exemples :
 								- Un routeur sous openBSD
 								- Un serveur de mail
 								- Un poste d’un particulier
 								Pas-à-pas
 								---------
-												Orthograf & fixes

											
										
										
											2023-04-12 11:44:36 +00:00
+								Vous devez modifier un antivirus (opensource) ou compromettre un antivirus déjà en place.
-												Add exercices samples

											
										
										
											2023-04-12 10:49:33 +00:00
 								L’antivirus modifié ou compromis laisse passer le malware.
 								Risques
 								-------
 								Trouver une compromission d’antivirus est plus difficile que de modifier un antivirus open source. Il faut aussi trouver la bonne version de l’antivirus
 								Dans le cas d’une modification d’un antivirus, il faut lire un minimum de code pour comprendre vaguement son fonctionnement.
 								Traces à enregistrer
 								--------------------
 								Fichiers à fournir :
 								- Dump de RAM
 								- Dump Filesystem
-												Orthograf & fixes

											
										
										
											2023-04-12 11:44:36 +00:00
+								- Logs système (dont antivirus)
-												Add exercices samples

											
										
										
											2023-04-12 10:49:33 +00:00
 								Questions à poser :
 								- Implementation de l’antivrus
 								- Pourquoi le malware est passé
 								- Impact de l’antivirus sur le système
 								Liens
 								-----
 								[Clamav open-source](antivirus (https://docs.clamav.net/manual/Installing/Installing-from-source-Unix.html)
 								[Windows CVE-2021-31985](https://www.pixiepointsecurity.com/blog/nday-cve-2021-31985.html) (Si vous arrivez à le faire fonctionner…)