From 7c51d45a82e3a75e9b0305d3abc428f81609ec4f Mon Sep 17 00:00:00 2001 From: Pierre-Olivier Mercier Date: Wed, 12 Apr 2023 12:49:33 +0200 Subject: [PATCH] Add exercices samples --- ..... Comment ça ma pile audio ne marche pas ?.md | 58 ++++++++++++++++ content/exercices/Attaque protocolaire.md | 59 +++++++++++++++++ content/exercices/Au commencement.md | 59 +++++++++++++++++ ...déjà établie grâce a l’ordinateur de la.md | 46 +++++++++++++ .../{ssh-agent.md => Boing Boing SSH.md} | 0 content/exercices/Chiffrement Maison.md | 66 +++++++++++++++++++ .../Dans mon téléphone, il y a....md | 57 ++++++++++++++++ content/exercices/GeoGuessr niveau expert.md | 48 ++++++++++++++ content/exercices/Géolocalisation.md | 52 +++++++++++++++ content/exercices/Incompréhensible.md | 58 ++++++++++++++++ .../exercices/Le discord de la discorde.md | 52 +++++++++++++++ content/exercices/Morse Attaque !.md | 48 ++++++++++++++ content/exercices/OLD New GOOD News.md | 19 ++++++ .../Once open a time, Long time ago.md | 28 ++++++++ content/exercices/Oui allô ? Android.md | 53 +++++++++++++++ content/exercices/Pêche au coquillage.md | 64 ++++++++++++++++++ content/exercices/Piqûre de moustique.md | 49 ++++++++++++++ content/exercices/Poupées Russes.md | 42 ++++++++++++ content/exercices/Prison break.md | 54 +++++++++++++++ content/exercices/Qui a peur des piqûres ?.md | 61 +++++++++++++++++ content/exercices/Trampoline.md | 60 +++++++++++++++++ content/exercices/Un petit coup de propre.md | 54 +++++++++++++++ 22 files changed, 1087 insertions(+) create mode 100644 content/exercices/Allô ? Allô... Comment ça ma pile audio ne marche pas ?.md create mode 100644 content/exercices/Attaque protocolaire.md create mode 100644 content/exercices/Au commencement.md create mode 100644 content/exercices/Avec une connexion déjà établie grâce a l’ordinateur de la.md rename content/exercices/{ssh-agent.md => Boing Boing SSH.md} (100%) create mode 100644 content/exercices/Chiffrement Maison.md create mode 100644 content/exercices/Dans mon téléphone, il y a....md create mode 100644 content/exercices/GeoGuessr niveau expert.md create mode 100644 content/exercices/Géolocalisation.md create mode 100644 content/exercices/Incompréhensible.md create mode 100644 content/exercices/Le discord de la discorde.md create mode 100644 content/exercices/Morse Attaque !.md create mode 100644 content/exercices/OLD New GOOD News.md create mode 100644 content/exercices/Once open a time, Long time ago.md create mode 100644 content/exercices/Oui allô ? Android.md create mode 100644 content/exercices/Pêche au coquillage.md create mode 100644 content/exercices/Piqûre de moustique.md create mode 100644 content/exercices/Poupées Russes.md create mode 100644 content/exercices/Prison break.md create mode 100644 content/exercices/Qui a peur des piqûres ?.md create mode 100644 content/exercices/Trampoline.md create mode 100644 content/exercices/Un petit coup de propre.md diff --git a/content/exercices/Allô ? Allô... Comment ça ma pile audio ne marche pas ?.md b/content/exercices/Allô ? Allô... Comment ça ma pile audio ne marche pas ?.md new file mode 100644 index 0000000..5a6a778 --- /dev/null +++ b/content/exercices/Allô ? Allô... Comment ça ma pile audio ne marche pas ?.md @@ -0,0 +1,58 @@ +--- +date: 2023-03-24T13:34:21+01:00 +title: Allô ? Allô… Comment ça ma pile audio ne marche pas ? +--- + + +C’est le moment de travailler sur un programme malveillant impactant le système linux mobile de votre choix. + +L’objectif est de comprendre comment fonctionne les composants du téléphone (messages, voix, …) cible et de détourner ses fonctionnalités. + +Pour cette exercice, le téléphone tourne sous un autre système qu’Android ou iOS, ce qui rend l’exercice plus original, plus spécifique, plus dure. + +Le but est que le joueur apprenne des spécificités d’un système linux pour téléphone portable. + +{{% tag %}}Téléphone{{% /tag %}} + +Contexte du défi +---------------- + +Votre superbe téléphone sous Linux est plus lent qu’à l’accoutumé. D’ailleurs, la pile audio ne fonctionne pas. +Voilà maintenant qu’il se met à chauffer sans que vous ne fassiez rien… Vous investiguez. + +Infrastructure à mettre en place +-------------------------------- + +Un modèle de téléphone qui n’est pas sous Android ni iOS. + +Un PinePhone par exemple ou un téléphone avec un système linux, [ubuntu touch](https://ubports.com/nl/supported-products) par exemple + + +Pas-à-pas +--------- + +Vous êtes libres de développer, de compromettre les composants qui vous semble intéressants pour mettre en exergue les spécificités d’un téléphone mobile sous Linux. + +Risques +------- + +Matériel (téléphone compatible avec Linux) + +Moins de documentation car sujet potentiellement plus spécifique et moins populaire. + +Traces à enregistrer +-------------------- +Fichiers à fournir : +- Dump de ram de l’appareil +- Paquet ou application malveillante + +Questions à poser : +- Insister sur les spécificité de l’appareil + +Liens +----- + +[Téléphones recommandés pour Ubuntu Touch](https://ubports.com/nl/supported-products) + +[PinePhone](https://www.pine64.org/pinephone/) + diff --git a/content/exercices/Attaque protocolaire.md b/content/exercices/Attaque protocolaire.md new file mode 100644 index 0000000..e6fb461 --- /dev/null +++ b/content/exercices/Attaque protocolaire.md @@ -0,0 +1,59 @@ +--- +date: 2023-03-24T13:34:21+01:00 +title: Protocoles +--- + +{{% tag %}}Attaque protocolaire{{% /tag %}} +{{% tag %}}Protocole{{% /tag %}} + +Contexte du défi +---------------- + +Vos machines en production ne fonctionnement plus, elles n’arrêtent pas de crash. Vous investiguez. + +Infrastructure à mettre en place +-------------------------------- + +Minium 2 Windows Serveur ou Client dans la version permettant la CVE de fonctionner. +1 machine dans le réseau infecté (pour une raison quelconque) par le binaire malveillant, origine de l’attaque. + +Pas-à-pas +--------- + +Vous mettez en place un programme permettant de prendre le contrôle ou faire tomber une machine sous Windows, en utilisant la vulnérabilité CVE-2022-34718. + +Choisir une des machines, c’est la machine infectée. Il n’est pas obligé de justifier pourquoi ni par quoi cette machine a été infecté. + +La machine infecté sert de base pour l’attaquant. + +L’attaquant utilise la CVE-2022-34718 pour empêcher le fonctionnement des autres machines du réseau. + + +Risques +------- + +Comprendre un minimum IPv6. +Implémenter une vulnérabilité en vrai. +Trouver la bonne version de Windows. + +Traces à enregistrer +-------------------- + +Fichiers à fournir : +- Logs windows (tout type) +- PCAP ou log réseaux +- Dump de RAM des machines, l’un d’entre eux doit contenir le binaire malveillant + +Questions à poser : +- Que fait le binaire malveillant en détail +- Questions sur les impacts réseaux (PCAP) +- Questions sur les impacts logs systèmes + +Liens +----- + +[Article Forbes](https://www.forbes.com/sites/daveywinder/2022/09/14/new-microsoft-windows-zero-day-attack-confirmed-update-now/?sh=120cee4b7ba3) + +[PoC CVE-2022-34718 (windows IPv6)](https://github.com/SecLabResearchBV/CVE-2022-34718-PoC) + +[Analyse de la vulnérabilité](https://medium.com/numen-cyber-labs/analysis-and-summary-of-tcp-ip-protocol-remote-code-execution-vulnerability-cve-2022-34718-8fcc28538acf) diff --git a/content/exercices/Au commencement.md b/content/exercices/Au commencement.md new file mode 100644 index 0000000..b85129a --- /dev/null +++ b/content/exercices/Au commencement.md @@ -0,0 +1,59 @@ +--- +date: 2023-03-24T13:34:21+01:00 +title: Au commencement +--- + +Le BIOS (Basic Input/Output System) et l'UEFI (Unified Extensible Firmware Interface) sont deux types de logiciels de bas niveau qui permettent de démarrer un ordinateur et de contrôler les périphériques matériels tels que le disque dur, le clavier, la souris, etc. + +À partir d’un driver UEFI malveillant, un attaquant compromet une machine critique au sein d’une entreprise ou d’un particulier. + +{{% tag %}}Bas niveau{{% /tag %}} + +{{% tag %}}Driver{{% /tag %}} + +{{% tag %}}Très difficile{{% /tag %}} + +Contexte du défi +---------------- + +L’utilisateur remarque que `action du driver malveillant` sur son PC. Vous investiguez. + + +Infrastructure à mettre en place +-------------------------------- + +L’infrastructure est simple : il faut un PC capable de charger un driver UEFI malveillant (le vôtre) + +Pas-à-pas +--------- + +Vous devez créer un driver UEFI malveillant. +Le driver fait des actions malveillantes et impacte le système du joueur. +Le joueur doit reconnaitre les impacts, comprendre les actions, reverse le driver. +En reversant le driver il explique comment les actions ont eu lieu. + +Risques +------- + +La mise en place de l’exercice peut être compliqué. +Il faut développer un driver UEFI ou modifier un bootkit. +Exercice bas-niveau, il faut se documenter pour comprendre le fonctionnement de l’environnement UEFI. + +Traces à enregistrer +-------------------- + +Fichiers à fournir : +- un dump de RAM de la machine cible +- des logs pertinents de l’attaque + +Questions à poser : +- Questions sur le code de votre driver +- Questions sur les impacts du driver malveillant + + +Liens +----- + +* [Ressources sur vulnérabilités récentes](https://binarly.io/posts) +* [Ressources sur rootkit et bootkit](https://binarly.io/posts/The_list_of_highest-rated_books_for_Malware_Analysts_features_Rootkits_and_Bootkits) +* [Ressources UEFI et attaques sur UEFI](https://github.com/rmusser01/Infosec_Reference/blob/master/Draft/bios_uefi.md) \ No newline at end of file diff --git a/content/exercices/Avec une connexion déjà établie grâce a l’ordinateur de la.md b/content/exercices/Avec une connexion déjà établie grâce a l’ordinateur de la.md new file mode 100644 index 0000000..41b000c --- /dev/null +++ b/content/exercices/Avec une connexion déjà établie grâce a l’ordinateur de la.md @@ -0,0 +1,46 @@ +--- +date: 2023-03-24T13:34:21+01:00 +title: C’est pas donnée +--- + +Avec une connexion déjà établie grâce a l’ordinateur de la victime, exfiltrez au plus vite des données de l’entreprise pour les revendre. + +{{% tag %}} exfiltration {{% /tag %}} +{{% tag %}} facile {{% /tag %}} + + +## Contexte du défis +Un employé d’entreprise est parti en vacance avec son ordinateur de travail mais se l’est fait voler. + +Ne l’ayant pas remarqué tout de suite, il s’est passé 4 jours avant qu’il prévienne l’entreprise et que ses comptes soient bloqués. + +L’entreprise a peur de ce qui a pu se passer sur ce laps de temps, pouvez vous investiguer ? + + +## Infrastructure à mettre en place +- Ordinateur de l’utilisateur +- Active Directory de l’entreprise +- Un VPN +- Autres services spécifiques + + +## Pas-à-pas +Choisir les éléments (applications, serveurs, infrastructure, employés, fichiers) que l’attaquant va pouvoir découvrir grâce a son accès. + +Construire une mise en place logique de l’attaque -> Peut-être qu’il regarde déjà ce qui est accessible de l’utilisateur sur lequel il est connecté, peut être qu’il peut déjà commencer a télécharger ses fichiers, qu’est ce qu’il peut chercher par la suite ? + +Possibilité de donner les fichiers jour par jour pour séparer les questions. + + +## Risques +- L’attaquant est pressé, il sait qu’il ne peut pas garder l’accès indéfiniment -> faire retranscrire sa hâte dans les logs ? +- Si c’est de la recherche il faut montrer des essaies non fructueux, pas seulement l’essaie qui mène au résultat escompté. +- Attention à l’horodatage + + +## Traces à enregistrer +- Logs de l’AD spécifiques aux actions de l’utilisateur +- Logs réseau + +## Liens + diff --git a/content/exercices/ssh-agent.md b/content/exercices/Boing Boing SSH.md similarity index 100% rename from content/exercices/ssh-agent.md rename to content/exercices/Boing Boing SSH.md diff --git a/content/exercices/Chiffrement Maison.md b/content/exercices/Chiffrement Maison.md new file mode 100644 index 0000000..3beab98 --- /dev/null +++ b/content/exercices/Chiffrement Maison.md @@ -0,0 +1,66 @@ +--- +date: 2023-04-08 +title: Chiffrement Maison ! +--- + +Analyse d'un ransomware basique avec une crypto maison vulnérable. + +Le but est vraiment d'orienter l'exercice sur l'analyse de la crypto. + +{{% tag %}}Crypto{{% /tag %}} + +{{% tag %}}Reverse{{% /tag %}} + +{{% tag %}}Difficile{{% /tag %}} + + + +Contexte du défi +---------------- + +Un cybergang à lancé sont dernier ransomware à la mode ! Il a malheureusement chiffré plusieurs ordinateurs sensible ! + +Pourrait-on récupérer ces données ? + + +Infrastructure à mettre en place +-------------------------------- + +- N/A + + +Pas-à-pas +--------- + +- analyse du binaire malveillant + +- compréhension du mécanisme crypto + +- exploiter une vulnérabilité pour arriver à inverser le chiffrement + +- déchiffrement d'un fichier donné + + +Risques +------- + +- la crypto doit être suffisament complexe pour nécessiter un peu de travail du joueur + +- Suivant la vulnérabilité choisit, ça peut par exemple nécessiter d'avoir X fichier chiffré pour pouvoir reverse la crypto ? + +- bonne compréhension des mécanisme crypto peut être utile + +- la complexité doit être au niveau crypto, pas du reverse, donc il faudrait faire un truc vraiment simple à ce niveau là (pas de rust par exemple), ça pourrait même être un executable python packagé. + + +Traces à enregistrer +-------------------- + +- le malware chiffrant + +- un fichier chiffré à déchiffré + + +Liens +----- + diff --git a/content/exercices/Dans mon téléphone, il y a....md b/content/exercices/Dans mon téléphone, il y a....md new file mode 100644 index 0000000..beb77e3 --- /dev/null +++ b/content/exercices/Dans mon téléphone, il y a....md @@ -0,0 +1,57 @@ +--- +date: 2023-03-24T13:34:21+01:00 +title: Dans mon téléphone, il y a… +--- + +L’objectif de cet exercice est de travailler sur des formats de fichiers propres à l’écosystème Apple. + +{{% tag %}}Téléphone{{% /tag %}} + +{{% tag %}}Facile{{% /tag %}} + +Contexte du défi +---------------- + +Vous enquêtez sur la disparition de votre amant. + +Vous avez réussi à récupérer son téléphone. Retrouvez-le. + +Infrastructure à mettre en place +-------------------------------- + +Un/des appareils dans l’écosystème Apple. + +En fonction du type de fichier que vous voulez faire analyser, il vous faut générer les informations (géolocalisation, images, sons, …). + +Pas-à-pas +--------- + +Votre amant est lui-même informaticien, il sait dissimuler des informations dans les fichiers de ses appareils. + +Les fichiers vous aident à comprendre ses itinéraires, rencontres, etc. + +Il a dissimulé des informations dans les metadonnées de quelques fichiers. + +Avec l’ensemble des informations, vous retrouvez sa trace. + +Risques +------- + +Potentiellement besoin de matériel Apple. + +Traces à enregistrer +-------------------- +Fichiers à fournir : +- Ressources acquises sur le téléphone/tablette/Mac ou une sauvegarde + +Questions à poser : +- Insister sur les spécificité de l’appareil, la version +- lieux, endroits +- information dans les métadonnées + +Liens +----- + +[Forensic sur iOS](https://www.prplbx.com/resources/blog/ios-forensics-guide/) + +[Ressources sur le forensic iOS](https://resources.infosecinstitute.com/topic/ios-forensics/) \ No newline at end of file diff --git a/content/exercices/GeoGuessr niveau expert.md b/content/exercices/GeoGuessr niveau expert.md new file mode 100644 index 0000000..98e3457 --- /dev/null +++ b/content/exercices/GeoGuessr niveau expert.md @@ -0,0 +1,48 @@ +--- +date: 2023-04-08 +title: GeoGuessr niveau expert +--- + +Retrouver un lieu précis à partir d'un témoignage précis (liste d'indication) (avec l'utilisation très recommandée d'un outil de type overpass turbo ) + +{{% tag %}}osint{{% /tag %}} +{{% tag %}}facile{{% /tag %}} + + +Contexte du défi +---------------- + +Vous faites partie d'une cellule d'enquête chargée de retrouver le lieu ou ont été cachée des pièces à convictions, vous n'avez que des déclarations de lieu et de distance relative. Arriverez vous à trouver l'endroit ? + + +Infrastructure à mettre en place +-------------------------------- + +N/A + + +Pas-à-pas +--------- + +Soyez plus ou moins original. + + +Risques +------- + +Trouver un lieu trouvable soit comme un bourrin sur google maps (+++ long) soit en passant par overpass turbo (mais il faut que le lieu ou en tout cas les élements menant au lieu, soient référencées sur openstreet map vu que c'est ce sur quoi se base le tool) + + +Traces à enregistrer +-------------------- + +- Description des lieux et du chemin + + +Liens +----- + +[Overpass Turbo](https://www.bellingcat.com/resources/2020/12/03/using-the-sun-and-the-shadows-for-geolocation/ +https://overpass-turbo.eu/) + +[ex d'utilisation d'overpass turbo](https://github.com/BreizhCTF/breizhctf-2023/blob/main/challenges/osint/bar_ou_turbot/WriteUp/WriteUp.md) \ No newline at end of file diff --git a/content/exercices/Géolocalisation.md b/content/exercices/Géolocalisation.md new file mode 100644 index 0000000..84d58e4 --- /dev/null +++ b/content/exercices/Géolocalisation.md @@ -0,0 +1,52 @@ +--- +date: 2023-04-08 +title: Géolocalisation +--- + +Utiliser un système d'antenne bluetooth pour arriver à géolocaliser le chemin d'un individu malveillant dans un supermarché. + +{{% tag %}}bluetooth{{% /tag %}} + +{{% tag %}}moyen?{{% /tag %}} + + +Contexte du défi +---------------- + +Votre super nouveau magasin hightech est équipé d'un système de capteurs bluetooth dispersé dans le magasin permettant le tracking en temps réel de tout le téléphone ayant ce dernier activé (soit quasiement tout les clients). + +Cependant un individu semble s'être échappé en courant sans que nous ayons pu l'attraper ... malheureusement les caméras étaient en maintenance à ce moment donc nous ne savons pas ce qu'il a pu dérober. + +Sauriez vous retracer son chemin et voir sur quel rayon s'est-il attardé ? + + +Infrastructure à mettre en place +-------------------------------- + +- Avoir un nombre suffisant de capteur bluetooth permettant d'essayer de faire une triangulation d'une source émettrice et les dispersers dans une zone relativement étendu (comme le lab) + +- faire une carte de la zone qui sera notre supermarché avec des rayons etc + + +Pas-à-pas +--------- + +Libre. + + +Risques +------- + +- Avoir suffisament de capteur (au moins 6/7 serait le minimum je pense mais bon à voir) + + +Traces à enregistrer +-------------------- + +- Enregistrement bluetooth +- Carte du magasin + + +Liens +----- + diff --git a/content/exercices/Incompréhensible.md b/content/exercices/Incompréhensible.md new file mode 100644 index 0000000..a4baa22 --- /dev/null +++ b/content/exercices/Incompréhensible.md @@ -0,0 +1,58 @@ +--- +date: 2023-04-08 +title: Incompréhensible +--- + +Analyse d'un malware utilisant utilisant une sorte de packinng avec un jeu d'instruction personnalisé. + + +{{% tag %}}reverse{{% /tag %}} + +{{% tag %}}difficile{{% /tag %}} + +{{% tag %}}TAG{{% /tag %}} + + +Contexte du défi +---------------- + +Libre + + +Infrastructure à mettre en place +-------------------------------- + +Un ordinateur infecté par le malware + +Pas-à-pas +--------- + +Faire un programme implémentant un jeu d’instructions ressemblant à un assembleur (ou pseudo language ou ce que vous voulez) + +Faire un système permettant d'interpréter ces instruction en "réelles instructions" + +Dans un second temps votre malware devra soit récupérer du réseau soit, avec packé en lui, la liste de votre suite d'insutctions malveillante à executer pour effectuer ses actions. + + +Risques +------- + +Il faut essayer de contrer au maximum l'analyse dynamique + +Il faudrait y avoir suffisamment d’instruction diverses et variées dans votre système d’interprétation. + +Ne pas utiliser directement d'outil déjà faits. Vous pouvez en modifier si le résultat est suffisamment différent. + + +Traces à enregistrer +-------------------- + +- Dump de RAM contenant le malware + + +Liens +----- + +[Le packing](https://kindredsec.wordpress.com/2020/01/07/the-basics-of-packed-malware-manually-unpacking-upx-executables/) + +[Reverse VMProtect binary](https://resources.infosecinstitute.com/topic/reverse-engineering-virtual-machine-protected-binaries/) \ No newline at end of file diff --git a/content/exercices/Le discord de la discorde.md b/content/exercices/Le discord de la discorde.md new file mode 100644 index 0000000..29a6f25 --- /dev/null +++ b/content/exercices/Le discord de la discorde.md @@ -0,0 +1,52 @@ +--- +date: 2023-04-08 +title: Le discord de la discorde +--- + +Retrouver un coupable d'exfiltrations d'informations par discord. + +Idéalement ça pourrait être une copie des fichiers data de discord sur un mobile. + +{{% tag %}}Messageries{{% /tag %}} +{{% tag %}}Moyen{{% /tag %}} + + +Contexte du défi +---------------- + +Lors de votre enquête vous êtes sur qu'un employé à utilisé une application mobile pour envoyer des documents confidentiels à un concurent. Il ne vous manque plus que la preuve de ces faits pour conclure votre dossier ! + +Vous avez récupéré une copie des données data de son téléphone. Arriverez vous à trouver quels documents ont été partagés et à qui ? + + +Infrastructure à mettre en place +-------------------------------- + +- Téléphone rooté pour récupérer facilement les données discord +- Suffisament d'échange discord pour essayer de noyer le poisson + + + +Pas-à-pas +--------- + +Libre. + + +Risques +------- + +- une quantité suffisante de message +- discord publique ou non ? (probablement pas le droit) +- les données discord peuvent être pénible à comprendre +- un simple strings / grep ne doivent pas remonter vos infos + +Traces à enregistrer +-------------------- + +- données data du téléphone + + +Liens +----- + diff --git a/content/exercices/Morse Attaque !.md b/content/exercices/Morse Attaque !.md new file mode 100644 index 0000000..b380124 --- /dev/null +++ b/content/exercices/Morse Attaque !.md @@ -0,0 +1,48 @@ +--- +date: 2023-04-11T23:00:00+01:00 +title: Morse Attaque ! +--- + +Afin de diversifier des exercices sur des ordinateurs Intel, pourquoi ne pas travailler sur de l’Arduino ? Et faire un peu d’électronique par la même occasion ! Et puis, pourquoi pas ne pas apprendre le morse aussi ? + +{{% tag %}}Arduino{{% /tag %}} + +{{% tag %}}Système{{% /tag %}} + +{{% tag %}}Électronique{{% /tag %}} + +{{% tag %}}Moyen/Difficile{{% /tag %}} + +## Contexte + +JustHack est la boîte concurrente de votre entreprise, Hack’N’Snack. Depuis le lancement de son dernier prototype, elle vous fait de l’ombre. + +Afin de remédier à cela, votre directeur vous ordonne de vous y faire embaucher, afin de récupérer les plans de leur prochain prototype. + +Une fois arrivé à JustHack, ni une ni deux, vous réfléchissez au meilleur moyen d’exfiltrer des données sans que personne ne s’en rende compte : utiliser l’Arduino qu’on vous a fourni, en faisant clignoter en morse la/les LEDs qu’elle possède ! + +À votre insu, votre collègue, trouvant bizarre de voir la/les LEDs de votre Arduino clignoter constamment, décide d’investiguer. + +## Infrastructure à mettre en place + +Seront nécessaires dans l'infrastructure : +- 1 Arduino (ou une machine Linux avec une led si vous ne pouvez pas vous procurer un Arduino) + +## Pas-à-pas + +Apprendre le morse. +Encoder les données à exfiltrer en morse. +Faire clignoter la/les LEDs en morse. + +## Traces à enregistrer + +Fichiers à fournir : +- Dump de RAM de l’Arduino +- Et/ou dump de disque de l’Arduino + +Questions à poser : +- Liste des condensats des fichiers exfiltrés + +## Liens + +[Le morse](https://fr.wikipedia.org/wiki/Code_Morse_international) diff --git a/content/exercices/OLD New GOOD News.md b/content/exercices/OLD New GOOD News.md new file mode 100644 index 0000000..c1f4941 --- /dev/null +++ b/content/exercices/OLD New GOOD News.md @@ -0,0 +1,19 @@ +--- +date: 2023-03-24T13:34:21+01:00 +title: OLD New GOOD News +--- + +OLD New GOOD News + +À ce jour, bien que le fax est très méconnu de la génération actuelle, il est encore énormément utilisé dans les entreprises. Il y a plus de 300 millions de numéros de fax encore utilisés à ce jour. Cette technologie peut cependant être un vecteur d’attaque de nos jours. +Ce vecteur d’attaque a fait l’objet d’une étude par les chercheurs dans l’étude ci-dessous. + +## Infrastructure et pas-à-pas + +Décrit dans l’article ci-dessous. +https://research.checkpoint.com/2018/sending-fax-back-to-the-dark-ages/ + +## Traces à enregistrer : +- Logs du fax, +- Jpeg contenant le payload, +- Logs du firewall montrant la latéralisation sur le réseau, \ No newline at end of file diff --git a/content/exercices/Once open a time, Long time ago.md b/content/exercices/Once open a time, Long time ago.md new file mode 100644 index 0000000..f936a4e --- /dev/null +++ b/content/exercices/Once open a time, Long time ago.md @@ -0,0 +1,28 @@ +--- +date: 2023-03-24T13:34:21+01:00 +title: Once open a time, Long time ago… +--- + +Once open a time, Long time ago … + +Certains attaquants ayant pris le contrôle d’une infrastructure peu surveiller peuvent installer des services comme une plateforme de phishing. + +## Contexte +Une injection sur un site vitrine a permis à l’attaquant de s’infiltrer sur le système. Il réalise une élévation de privilège et installe par la suite son infrastructure de phishing. + +## Infrastructure +- 1 routeur +- 1 pare-feu +- 3 serveurs/VM ; +- 2 postes clients. + +## Pas-à-Pas + +CVE-2021-21972 +Le client vSphere est affecté par une vulnérabilité d'exécution de code à distance dans un plugin vCenter Server. Un acteur malveillant disposant d'un accès réseau au port 443 pourrait exploiter ce problème pour exécuter des commandes avec des privilèges non restreints sur le système d'exploitation sous-jacent qui héberge le vCenter Server. +Cette vulnérabilité est suivie en tant que CVE-2021-21972. Le plugin vCenter de vRealize Operations est à l'origine de cette vulnérabilité. Un attaquant peut exploiter le système vulnérable à distance en téléchargeant un fichier + + +## Printnightmare : +PrintNightmare est une vulnérabilité de sécurité critique affectant le système d'exploitation Microsoft Windows. La vulnérabilité se produit dans le service de spooler d'impression. Il existe deux variantes, l'une permettant l'exécution de code à distance (CVE-2021-34527), et l'autre conduisant à une élévation de privilèges (CVE-2021-1675). +https://blog.sygnia.co/demystifying-the-print-nightmare-vulnerability diff --git a/content/exercices/Oui allô ? Android.md b/content/exercices/Oui allô ? Android.md new file mode 100644 index 0000000..176ba4e --- /dev/null +++ b/content/exercices/Oui allô ? Android.md @@ -0,0 +1,53 @@ +--- +date: 2023-03-24T13:34:21+01:00 +title: Oui, allô ? +--- + +{{% tag %}}Téléphone{{% /tag %}} + +Contexte du défi +---------------- + +Votre ami a passé son téléphone à un inconnu dans la rue. +Maintenant votre ami s’inquiète. +Rassurez le, ou pas. + +Infrastructure à mettre en place +-------------------------------- + +Un modèle de téléphone sous Android. + +En fonction de la vulnérabilité choisi ou si vous utiliser votre logiciel malveillant, il faut la bonne version d’android ou le bon matériel. + +Pas-à-pas +--------- + +Libre du moment que le téléphone est sous Android. + +Quelques idées : +- Abuser d’une configuration par défaut ou voulue (dev par exemple) +- ADB +- Attaques physiques (plug de materiel malveillant, etc.) +- CVE sur un appareil pas à jour +- Sur certains téléphones il est possible, avec un accès physique (le cas de notre contexte) d’accéder ou de déverrouiller des fonctionnalités bas-niveau (bootloader) + +Risques +------- + +Besoin de matériel (le téléphone). +Possibilités de virtualisation du téléphone mais limite les attaques physiques. + +Traces à enregistrer +-------------------- +Fichiers à fournir : +- Dump de RAM du téléphone +- Dump système de fichier +- Possiblement une APK d’une application + +Questions à poser : +- Insister sur les spécificité de l’appareil, la version ou l’implémentation de votre binaire + +Liens +----- + +[Android Hackers Handbook](https://archive.org/details/AndroidHackersHandbook) \ No newline at end of file diff --git a/content/exercices/Pêche au coquillage.md b/content/exercices/Pêche au coquillage.md new file mode 100644 index 0000000..a98f425 --- /dev/null +++ b/content/exercices/Pêche au coquillage.md @@ -0,0 +1,64 @@ +--- +date: 2023-04-08 +title: Pêche au coquillage +--- + +Malgré de nombreuses tentative de se protéger contre cela, les document office servent toujours dans de nombreuses attaques, que ça soit pour de la malveillance comme pour de l'audit de sécurité (sensibilisation ou red team). + +Le but de cette exercice est à partir d'une copie de boites mail de plusieurs personnel de l'entreprise de retrouver le document malveillant, de l'analyser pour en retirer des IOC permettant une étude plus approfondie. + +{{% tag %}}Office{{% /tag %}} + +{{% tag %}}Phishing{{% /tag %}} + +{{% tag %}}Windows{{% /tag %}} + +{{% tag %}}Moyen{{% /tag %}} + + +Contexte du défi +---------------- + +Un ransomware s'est déclaré dans l'entreprise ! Vous faite partie de l'équipe chargée de gérer cette réponse à incident. Votre mission est d'essayer de comprendre par où l'attaquant à pu entrer, pour cela vous avez comme tâche préliminaire d'étudier les échanges mails des personnes du service compromis. + +Il y a t il des éléments d'intérêt ? + + +Infrastructure à mettre en place +-------------------------------- + +- Serveur de mail +- plusieurs poste pouvant communiquer avec le serveur de mail +- un serveur vers lequel votre document office malveillant doit pouvoir communiquer (un C&C quelconque fera l'affaire, il ne sera pas donné au joueur ici) + + +Pas-à-pas +--------- + +- analyse des boites mails +- récupération du document office (il faudrait que ça ne soit pas le seul) +- analyse du document +- récupération de la macro & analyse +- extraction de son comportement & IOC + + +Risques +------- + +- Les ip doivent être réaliste, avec des noms de domaines réaliste. Il faudra bien setup les serveurs dns de votre infra pour ça + +- la macro ne doit pas être un truc trop générique (pas un truc basique généré par métasploit, idéalement généré par vous meme avec un peu d'obfuscation ?) + +- les mails doivent être suffisamenet nombreux et pertinent (mix de vrai message et pub peuvent faire l'affaire). Avec une temporalité pertinente + +Traces à enregistrer +-------------------- + +- extractions des boites mails + +- génération d'un document pertinent avec une vraie macro faisait une action malveillante (droppper ? execution de code ? au choix) + + +Liens +----- + diff --git a/content/exercices/Piqûre de moustique.md b/content/exercices/Piqûre de moustique.md new file mode 100644 index 0000000..e536696 --- /dev/null +++ b/content/exercices/Piqûre de moustique.md @@ -0,0 +1,49 @@ +--- +date: 2023-04-11T23:00:00+01:00 +title: Piqûre de moustique +--- + +Les injections dans des processus, que ce soit sur un système Windows, Linux ou Mac, sont des sujets très peu vus à l’école. Quoi de mieux pour découvrir cette thématique que de réaliser un exercice à ce sujet ? + +Cet exercice consiste à découvrir une injection sous Linux (utilisation de la variable d’environnement LD_PRELOAD…), ainsi qu’à découvrir le format ELF. + +{{% tag %}}Linux{{% /tag %}} + +{{% tag %}}Système{{% /tag %}} + +{{% tag %}}ELF{{% /tag %}} + +{{% tag %}}Injection{{% /tag %}} + +{{% tag %}}Moyen{{% /tag %}} + +## Contexte + +Anne Pano’Nyme est infirmière dans un hôpital de province. Depuis quelques années, elle s’est prise de passion pour l’informatique et s’y exerce dans son temps libre. Elle s’est essayée à divers domaines et a même récemment mis en place un serveur chez elle ! + +Cependant, depuis quelques jours, son serveur semble ramer. Anne se souvient que peu de temps avant, elle a installé un programme envoyé par un collègue. Se pourrait-il que cet exécutable eut été malveillant ? + +Forte de ses compétences acquises au fil des ans, Anne débute son investigation. + + + +## Infrastructure à mettre en place + +Seront nécessaires dans l'infrastructure : +- 1 client/VM (Linux) + +## Pas-à-pas + +Etudier les différentes méthodes d’injection sous Linux +Etudier le format ELF + +## Traces à enregistrer + +Fichiers à fournir : +- un dump de RAM du PC + +Questions à poser : +- Nom du programme malveillant (on le trouve dans le dump de RAM) +- Condensat de l’exécutable récupéré + +## Liens diff --git a/content/exercices/Poupées Russes.md b/content/exercices/Poupées Russes.md new file mode 100644 index 0000000..7023e64 --- /dev/null +++ b/content/exercices/Poupées Russes.md @@ -0,0 +1,42 @@ +--- +date: 2023-04-11T23:00:00+01:00 +title: Poupées Russes +--- + +Êtes-vous sûrs que le PDF que vous venez d’ouvrir avec votre logiciel de visualisation préféré ne pourrait pas en fait être aussi une page HTML ? + +Certains formats de fichiers peuvent se faire passer pour d’autres types de fichiers. On les appelle les « fichiers polyglottes ». + +Travailler sur ces fichiers permet de vous faire découvrir un sujet fun tout en permettant aux joueurs de tenter de résoudre un exercice original. + +{{% tag %}}Formats de fichiers{{% /tag %}} +{{% tag %}}Difficile{{% /tag %}} + +## Contexte du défi + +Libre. + +## Infrastructure à mettre en place + +Seront nécessaires dans l'infrastructure : +- 1 client/VM + +## Pas-à-pas + +Déterminer les formats de fichiers qu’il est possible d’utiliser +Tester les générateurs de fichiers polyglottes. + +Soyez créatifs ! Faites-en sorte de ne pas juste changer l’extension du fichier pour résoudre l’exercice. Par exemple, votre fichier pourrait être une image contenant une indication permettant de déchiffrer l’archive, lorsque le fichier est mis au format .zip + +## Traces à enregistrer + +Fichiers à fournir : +- à déterminer + +Questions à poser : +- Liste des formats par lesquels il faut passer pour atteindre l’exécutable +- Condensat de l’exécutable récupéré + +## Ressources + +[Le GitHub d’Ange Albertini](https://github.com/angea) diff --git a/content/exercices/Prison break.md b/content/exercices/Prison break.md new file mode 100644 index 0000000..3420faa --- /dev/null +++ b/content/exercices/Prison break.md @@ -0,0 +1,54 @@ +--- +date: 2023-03-24T13:34:21+01:00 +title: Prison break +--- + +{{% tag %}}Apple{{% /tag %}} +{{% tag %}}Bypass{{% /tag %}} + +Contexte du défi +---------------- + +Les informations confidentielles de votre entreprise ont fuités, la seul origine possible est une machine sous macOS. + +Infrastructure à mettre en place +-------------------------------- + +Une machine sous macOS. + +Pas-à-pas +--------- + +Vous devez créer un environnement sur une machine macOS aillant activé le SIP (System Integrity Protection). + +Le SIP doit être contourné par un binaire malveillant. + +Risques +------- + +Vous devez avoir le matériel (mac). + +Le matériel doit être sous la bonne version. + +Votre système doit utiliser SIP. + +Traces à enregistrer +-------------------- + +Fichiers à fournir : +- logs système propre aux mac +- dump de RAM ou système de fichiers + +Questions à poser : +- Spécificités qui montre que SIP a été contourné + +Liens +----- + +[SIP](https://support.apple.com/en-us/HT204899) + +[Analyse de la CVE 2022-22583](https://perception-point.io/blog/technical-analysis-cve-2022-22583/) + +[PoC CVE 2022-22583](https://github.com/fzxcp3/CVE-2022-22583/tree/main/CVE-2022-22583) + +[Ressources sur la sécurité d’Apple](https://help.apple.com/pdf/security/en_GB/apple-platform-security-guide-b.pdf) \ No newline at end of file diff --git a/content/exercices/Qui a peur des piqûres ?.md b/content/exercices/Qui a peur des piqûres ?.md new file mode 100644 index 0000000..1ef2279 --- /dev/null +++ b/content/exercices/Qui a peur des piqûres ?.md @@ -0,0 +1,61 @@ +--- +date: 2023-04-10T23:00:00+01:00 +title: Qui a peur des piqûres ? +--- + +Les injections dans des processus, que ce soit sur un système Windows, Linux ou Mac, sont des sujets très peu vus à l’école. Quoi de mieux pour découvrir cette thématique que de réaliser un exercice à ce sujet ? + +Cet exercice consiste à découvrir l’injection appelée « Process Hollowing », sous Windows, ainsi qu’à découvrir le format PE. + +{{% tag %}}Windows{{% /tag %}} +{{% tag %}}Système{{% /tag %}} +{{% tag %}}PE{{% /tag %}} +{{% tag %}}Injection{{% /tag %}} +{{% tag %}}Moyen{{% /tag %}} + +Contexte du défi +---------------- + +Anne O’Nyme est infirmière dans un hôpital de province. Depuis quelques années, elle s’est prise de passion pour l’informatique et s’y exerce dans son temps libre. Elle s’est essayée à divers domaines et a même récemment mis en place un serveur chez elle ! + +Cependant, depuis quelques jours, son serveur semble ramer. Anne se souvient que peu de temps avant, elle a installé un programme envoyé par un collègue. Se pourrait-il que cet exécutable eut été malveillant ? + +Forte de ses compétences acquises au fil des ans, Anne débute son investigation. + +Infrastructure à mettre en place +-------------------------------- + +Seront nécessaires dans l'infrastructure : +1 serveur/VM (Windows Server) + +Pas-à-pas +--------- + +L’exécutable fourni par le collègue d’Anne était en fait un logiciel malveillant (cryptominer, …) ! + +En effet, une fois exécuté, celui-ci s’injecte dans un processus Windows à l’aide du Process Hollowing, rajoute quelques points de persistance et supprime ensuite le fichier d’origine. + +En tant que joueur, les étapes de résolution sont les suivantes : +- Déterminer le processus malveillant dans le dump de RAM +- Examiner la mémoire de ce processus et en récupérer le PE du binaire +- Analyser le binaire récupéré pour répondre aux questions + +Traces à enregistrer +-------------------- + +Fichiers à fournir : +- un dump de RAM du serveur d’Anne + +Questions à poser : +- Nom du programme malveillant (on le trouve dans le dump de RAM) +- Nom du processus « malveillant » (car sans l’injection il n’est pas malveillant) +- Condensat de l’exécutable récupéré + +Liste des fonctionnalités du binaire : - quelques éléments de persistances, but du binaire (cryptominer ou autre), auto-suppression, … + +Ressources +----- + +[La documentation Microsoft sur les PE](https://learn.microsoft.com/en-us/windows/win32/debug/pe-format) + +[Process Hollowing](https://attack.mitre.org/techniques/T1055/012/) diff --git a/content/exercices/Trampoline.md b/content/exercices/Trampoline.md new file mode 100644 index 0000000..d9b77e1 --- /dev/null +++ b/content/exercices/Trampoline.md @@ -0,0 +1,60 @@ +--- +date: 2023-03-24T13:34:21+01:00 +title: Trampoline +--- + +Vous allez modifier un antivirus pour laisser passer votre propre cheval de Troie ! +C’est le moment de bidouiller ClamAV. + +Ou vous pouvez exploiter un antivirus existant, à vous de voir. + +{{% tag %}}Antivirus{{% /tag %}} + +Contexte du défi +---------------- + +Un PC est compromis par un ransomware. +Pourtant, l’antivirus est censé bloqué ce malware sorti il y a déjà quelque temps… Vous investiguez + +Infrastructure à mettre en place +-------------------------------- + +Libre. +Quelques exemples : +- Un routeur sous openBSD +- Un serveur de mail +- Un poste d’un particulier + +Pas-à-pas +--------- + +Vous devez modifier un antivirus (opensource) ou compromettre un antivirus existant. + +L’antivirus modifié ou compromis laisse passer le malware. + +Risques +------- + +Trouver une compromission d’antivirus est plus difficile que de modifier un antivirus open source. Il faut aussi trouver la bonne version de l’antivirus + +Dans le cas d’une modification d’un antivirus, il faut lire un minimum de code pour comprendre vaguement son fonctionnement. + +Traces à enregistrer +-------------------- + +Fichiers à fournir : +- Dump de RAM +- Dump Filesystem +- Log système (dont antivirus) + +Questions à poser : +- Implementation de l’antivrus +- Pourquoi le malware est passé +- Impact de l’antivirus sur le système + +Liens +----- + +[Clamav open-source](antivirus (https://docs.clamav.net/manual/Installing/Installing-from-source-Unix.html) + +[Windows CVE-2021-31985](https://www.pixiepointsecurity.com/blog/nday-cve-2021-31985.html) (Si vous arrivez à le faire fonctionner…) \ No newline at end of file diff --git a/content/exercices/Un petit coup de propre.md b/content/exercices/Un petit coup de propre.md new file mode 100644 index 0000000..c27db33 --- /dev/null +++ b/content/exercices/Un petit coup de propre.md @@ -0,0 +1,54 @@ +--- +date: 2023-04-10T23:00:00+01:00 +title: Un petit coup de propre +--- + +Après qu’un attaquant ait réussi à compromettre une machine, il cherche à s’y pérenniser. + +Cet exercice consiste à débusquer les différents points de persistance mis en place afin que l’attaquant puisse avoir accès en toutes circonstances à cette machine. + +{{% tag %}}Windows{{% /tag %}} + +{{% tag %}}Système{{% /tag %}} + +{{% tag %}}Persistance{{% /tag %}} + +{{% tag %}}Moyen{{% /tag %}} + +Contexte du défi +---------------- + +Vous venez d’être embauché dans la boîte de sécurité informatique très tendance : Hack’N’Snack. +Histoire de tester vos connaissances système (parce que vous avez dit être « le boss » sur le sujet), on vous demande de retrouver le logiciel malveillant caché sur un PC sous Windows et de le nettoyer. + +Vous êtes motivé pour faire vos preuves. Alors attention aux yeux ! + +Infrastructure à mettre en place +-------------------------------- + +Seront nécessaires dans l'infrastructure : +- 1 client/VM (Windows 11) + +Pas-à-pas +--------- + +Etudier les différentes méthodes de persistance existantes + +En imaginer quelques unes + +Traces à enregistrer +-------------------- + +Fichiers à fournir : +- un dump de RAM du PC +- un dump de disque du PC + +Questions à poser : +- Nom du programme malveillant (on le trouve dans le dump de RAM) +- Condensat de l’exécutable récupéré +- Liste justifiée des éléments de persistances mis en place + +Liens +----- + +* Practical Malware Analysis, édition NoStarchPress