This commit is contained in:
parent
79a527bb03
commit
7c51d45a82
@ -0,0 +1,58 @@
|
|||||||
|
---
|
||||||
|
date: 2023-03-24T13:34:21+01:00
|
||||||
|
title: Allô ? Allô… Comment ça ma pile audio ne marche pas ?
|
||||||
|
---
|
||||||
|
|
||||||
|
|
||||||
|
C’est le moment de travailler sur un programme malveillant impactant le système linux mobile de votre choix.
|
||||||
|
|
||||||
|
L’objectif est de comprendre comment fonctionne les composants du téléphone (messages, voix, …) cible et de détourner ses fonctionnalités.
|
||||||
|
|
||||||
|
Pour cette exercice, le téléphone tourne sous un autre système qu’Android ou iOS, ce qui rend l’exercice plus original, plus spécifique, plus dure.
|
||||||
|
|
||||||
|
Le but est que le joueur apprenne des spécificités d’un système linux pour téléphone portable.
|
||||||
|
|
||||||
|
{{% tag %}}Téléphone{{% /tag %}}
|
||||||
|
|
||||||
|
Contexte du défi
|
||||||
|
----------------
|
||||||
|
|
||||||
|
Votre superbe téléphone sous Linux est plus lent qu’à l’accoutumé. D’ailleurs, la pile audio ne fonctionne pas.
|
||||||
|
Voilà maintenant qu’il se met à chauffer sans que vous ne fassiez rien… Vous investiguez.
|
||||||
|
|
||||||
|
Infrastructure à mettre en place
|
||||||
|
--------------------------------
|
||||||
|
|
||||||
|
Un modèle de téléphone qui n’est pas sous Android ni iOS.
|
||||||
|
|
||||||
|
Un PinePhone par exemple ou un téléphone avec un système linux, [ubuntu touch](https://ubports.com/nl/supported-products) par exemple
|
||||||
|
|
||||||
|
|
||||||
|
Pas-à-pas
|
||||||
|
---------
|
||||||
|
|
||||||
|
Vous êtes libres de développer, de compromettre les composants qui vous semble intéressants pour mettre en exergue les spécificités d’un téléphone mobile sous Linux.
|
||||||
|
|
||||||
|
Risques
|
||||||
|
-------
|
||||||
|
|
||||||
|
Matériel (téléphone compatible avec Linux)
|
||||||
|
|
||||||
|
Moins de documentation car sujet potentiellement plus spécifique et moins populaire.
|
||||||
|
|
||||||
|
Traces à enregistrer
|
||||||
|
--------------------
|
||||||
|
Fichiers à fournir :
|
||||||
|
- Dump de ram de l’appareil
|
||||||
|
- Paquet ou application malveillante
|
||||||
|
|
||||||
|
Questions à poser :
|
||||||
|
- Insister sur les spécificité de l’appareil
|
||||||
|
|
||||||
|
Liens
|
||||||
|
-----
|
||||||
|
|
||||||
|
[Téléphones recommandés pour Ubuntu Touch](https://ubports.com/nl/supported-products)
|
||||||
|
|
||||||
|
[PinePhone](https://www.pine64.org/pinephone/)
|
||||||
|
|
59
content/exercices/Attaque protocolaire.md
Normal file
59
content/exercices/Attaque protocolaire.md
Normal file
@ -0,0 +1,59 @@
|
|||||||
|
---
|
||||||
|
date: 2023-03-24T13:34:21+01:00
|
||||||
|
title: Protocoles
|
||||||
|
---
|
||||||
|
|
||||||
|
{{% tag %}}Attaque protocolaire{{% /tag %}}
|
||||||
|
{{% tag %}}Protocole{{% /tag %}}
|
||||||
|
|
||||||
|
Contexte du défi
|
||||||
|
----------------
|
||||||
|
|
||||||
|
Vos machines en production ne fonctionnement plus, elles n’arrêtent pas de crash. Vous investiguez.
|
||||||
|
|
||||||
|
Infrastructure à mettre en place
|
||||||
|
--------------------------------
|
||||||
|
|
||||||
|
Minium 2 Windows Serveur ou Client dans la version permettant la CVE de fonctionner.
|
||||||
|
1 machine dans le réseau infecté (pour une raison quelconque) par le binaire malveillant, origine de l’attaque.
|
||||||
|
|
||||||
|
Pas-à-pas
|
||||||
|
---------
|
||||||
|
|
||||||
|
Vous mettez en place un programme permettant de prendre le contrôle ou faire tomber une machine sous Windows, en utilisant la vulnérabilité CVE-2022-34718.
|
||||||
|
|
||||||
|
Choisir une des machines, c’est la machine infectée. Il n’est pas obligé de justifier pourquoi ni par quoi cette machine a été infecté.
|
||||||
|
|
||||||
|
La machine infecté sert de base pour l’attaquant.
|
||||||
|
|
||||||
|
L’attaquant utilise la CVE-2022-34718 pour empêcher le fonctionnement des autres machines du réseau.
|
||||||
|
|
||||||
|
|
||||||
|
Risques
|
||||||
|
-------
|
||||||
|
|
||||||
|
Comprendre un minimum IPv6.
|
||||||
|
Implémenter une vulnérabilité en vrai.
|
||||||
|
Trouver la bonne version de Windows.
|
||||||
|
|
||||||
|
Traces à enregistrer
|
||||||
|
--------------------
|
||||||
|
|
||||||
|
Fichiers à fournir :
|
||||||
|
- Logs windows (tout type)
|
||||||
|
- PCAP ou log réseaux
|
||||||
|
- Dump de RAM des machines, l’un d’entre eux doit contenir le binaire malveillant
|
||||||
|
|
||||||
|
Questions à poser :
|
||||||
|
- Que fait le binaire malveillant en détail
|
||||||
|
- Questions sur les impacts réseaux (PCAP)
|
||||||
|
- Questions sur les impacts logs systèmes
|
||||||
|
|
||||||
|
Liens
|
||||||
|
-----
|
||||||
|
|
||||||
|
[Article Forbes](https://www.forbes.com/sites/daveywinder/2022/09/14/new-microsoft-windows-zero-day-attack-confirmed-update-now/?sh=120cee4b7ba3)
|
||||||
|
|
||||||
|
[PoC CVE-2022-34718 (windows IPv6)](https://github.com/SecLabResearchBV/CVE-2022-34718-PoC)
|
||||||
|
|
||||||
|
[Analyse de la vulnérabilité](https://medium.com/numen-cyber-labs/analysis-and-summary-of-tcp-ip-protocol-remote-code-execution-vulnerability-cve-2022-34718-8fcc28538acf)
|
59
content/exercices/Au commencement.md
Normal file
59
content/exercices/Au commencement.md
Normal file
@ -0,0 +1,59 @@
|
|||||||
|
---
|
||||||
|
date: 2023-03-24T13:34:21+01:00
|
||||||
|
title: Au commencement
|
||||||
|
---
|
||||||
|
|
||||||
|
Le BIOS (Basic Input/Output System) et l'UEFI (Unified Extensible Firmware Interface) sont deux types de logiciels de bas niveau qui permettent de démarrer un ordinateur et de contrôler les périphériques matériels tels que le disque dur, le clavier, la souris, etc.
|
||||||
|
|
||||||
|
À partir d’un driver UEFI malveillant, un attaquant compromet une machine critique au sein d’une entreprise ou d’un particulier.
|
||||||
|
|
||||||
|
{{% tag %}}Bas niveau{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Driver{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Très difficile{{% /tag %}}
|
||||||
|
|
||||||
|
Contexte du défi
|
||||||
|
----------------
|
||||||
|
|
||||||
|
L’utilisateur remarque que `action du driver malveillant` sur son PC. Vous investiguez.
|
||||||
|
|
||||||
|
|
||||||
|
Infrastructure à mettre en place
|
||||||
|
--------------------------------
|
||||||
|
|
||||||
|
L’infrastructure est simple : il faut un PC capable de charger un driver UEFI malveillant (le vôtre)
|
||||||
|
|
||||||
|
Pas-à-pas
|
||||||
|
---------
|
||||||
|
|
||||||
|
Vous devez créer un driver UEFI malveillant.
|
||||||
|
Le driver fait des actions malveillantes et impacte le système du joueur.
|
||||||
|
Le joueur doit reconnaitre les impacts, comprendre les actions, reverse le driver.
|
||||||
|
En reversant le driver il explique comment les actions ont eu lieu.
|
||||||
|
|
||||||
|
Risques
|
||||||
|
-------
|
||||||
|
|
||||||
|
La mise en place de l’exercice peut être compliqué.
|
||||||
|
Il faut développer un driver UEFI ou modifier un bootkit.
|
||||||
|
Exercice bas-niveau, il faut se documenter pour comprendre le fonctionnement de l’environnement UEFI.
|
||||||
|
|
||||||
|
Traces à enregistrer
|
||||||
|
--------------------
|
||||||
|
|
||||||
|
Fichiers à fournir :
|
||||||
|
- un dump de RAM de la machine cible
|
||||||
|
- des logs pertinents de l’attaque
|
||||||
|
|
||||||
|
Questions à poser :
|
||||||
|
- Questions sur le code de votre driver
|
||||||
|
- Questions sur les impacts du driver malveillant
|
||||||
|
|
||||||
|
|
||||||
|
Liens
|
||||||
|
-----
|
||||||
|
|
||||||
|
* [Ressources sur vulnérabilités récentes](https://binarly.io/posts)
|
||||||
|
* [Ressources sur rootkit et bootkit](https://binarly.io/posts/The_list_of_highest-rated_books_for_Malware_Analysts_features_Rootkits_and_Bootkits)
|
||||||
|
* [Ressources UEFI et attaques sur UEFI](https://github.com/rmusser01/Infosec_Reference/blob/master/Draft/bios_uefi.md)
|
@ -0,0 +1,46 @@
|
|||||||
|
---
|
||||||
|
date: 2023-03-24T13:34:21+01:00
|
||||||
|
title: C’est pas donnée
|
||||||
|
---
|
||||||
|
|
||||||
|
Avec une connexion déjà établie grâce a l’ordinateur de la victime, exfiltrez au plus vite des données de l’entreprise pour les revendre.
|
||||||
|
|
||||||
|
{{% tag %}} exfiltration {{% /tag %}}
|
||||||
|
{{% tag %}} facile {{% /tag %}}
|
||||||
|
|
||||||
|
|
||||||
|
## Contexte du défis
|
||||||
|
Un employé d’entreprise est parti en vacance avec son ordinateur de travail mais se l’est fait voler.
|
||||||
|
|
||||||
|
Ne l’ayant pas remarqué tout de suite, il s’est passé 4 jours avant qu’il prévienne l’entreprise et que ses comptes soient bloqués.
|
||||||
|
|
||||||
|
L’entreprise a peur de ce qui a pu se passer sur ce laps de temps, pouvez vous investiguer ?
|
||||||
|
|
||||||
|
|
||||||
|
## Infrastructure à mettre en place
|
||||||
|
- Ordinateur de l’utilisateur
|
||||||
|
- Active Directory de l’entreprise
|
||||||
|
- Un VPN
|
||||||
|
- Autres services spécifiques
|
||||||
|
|
||||||
|
|
||||||
|
## Pas-à-pas
|
||||||
|
Choisir les éléments (applications, serveurs, infrastructure, employés, fichiers) que l’attaquant va pouvoir découvrir grâce a son accès.
|
||||||
|
|
||||||
|
Construire une mise en place logique de l’attaque -> Peut-être qu’il regarde déjà ce qui est accessible de l’utilisateur sur lequel il est connecté, peut être qu’il peut déjà commencer a télécharger ses fichiers, qu’est ce qu’il peut chercher par la suite ?
|
||||||
|
|
||||||
|
Possibilité de donner les fichiers jour par jour pour séparer les questions.
|
||||||
|
|
||||||
|
|
||||||
|
## Risques
|
||||||
|
- L’attaquant est pressé, il sait qu’il ne peut pas garder l’accès indéfiniment -> faire retranscrire sa hâte dans les logs ?
|
||||||
|
- Si c’est de la recherche il faut montrer des essaies non fructueux, pas seulement l’essaie qui mène au résultat escompté.
|
||||||
|
- Attention à l’horodatage
|
||||||
|
|
||||||
|
|
||||||
|
## Traces à enregistrer
|
||||||
|
- Logs de l’AD spécifiques aux actions de l’utilisateur
|
||||||
|
- Logs réseau
|
||||||
|
|
||||||
|
## Liens
|
||||||
|
|
66
content/exercices/Chiffrement Maison.md
Normal file
66
content/exercices/Chiffrement Maison.md
Normal file
@ -0,0 +1,66 @@
|
|||||||
|
---
|
||||||
|
date: 2023-04-08
|
||||||
|
title: Chiffrement Maison !
|
||||||
|
---
|
||||||
|
|
||||||
|
Analyse d'un ransomware basique avec une crypto maison vulnérable.
|
||||||
|
|
||||||
|
Le but est vraiment d'orienter l'exercice sur l'analyse de la crypto.
|
||||||
|
|
||||||
|
{{% tag %}}Crypto{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Reverse{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Difficile{{% /tag %}}
|
||||||
|
|
||||||
|
|
||||||
|
|
||||||
|
Contexte du défi
|
||||||
|
----------------
|
||||||
|
|
||||||
|
Un cybergang à lancé sont dernier ransomware à la mode ! Il a malheureusement chiffré plusieurs ordinateurs sensible !
|
||||||
|
|
||||||
|
Pourrait-on récupérer ces données ?
|
||||||
|
|
||||||
|
|
||||||
|
Infrastructure à mettre en place
|
||||||
|
--------------------------------
|
||||||
|
|
||||||
|
- N/A
|
||||||
|
|
||||||
|
|
||||||
|
Pas-à-pas
|
||||||
|
---------
|
||||||
|
|
||||||
|
- analyse du binaire malveillant
|
||||||
|
|
||||||
|
- compréhension du mécanisme crypto
|
||||||
|
|
||||||
|
- exploiter une vulnérabilité pour arriver à inverser le chiffrement
|
||||||
|
|
||||||
|
- déchiffrement d'un fichier donné
|
||||||
|
|
||||||
|
|
||||||
|
Risques
|
||||||
|
-------
|
||||||
|
|
||||||
|
- la crypto doit être suffisament complexe pour nécessiter un peu de travail du joueur
|
||||||
|
|
||||||
|
- Suivant la vulnérabilité choisit, ça peut par exemple nécessiter d'avoir X fichier chiffré pour pouvoir reverse la crypto ?
|
||||||
|
|
||||||
|
- bonne compréhension des mécanisme crypto peut être utile
|
||||||
|
|
||||||
|
- la complexité doit être au niveau crypto, pas du reverse, donc il faudrait faire un truc vraiment simple à ce niveau là (pas de rust par exemple), ça pourrait même être un executable python packagé.
|
||||||
|
|
||||||
|
|
||||||
|
Traces à enregistrer
|
||||||
|
--------------------
|
||||||
|
|
||||||
|
- le malware chiffrant
|
||||||
|
|
||||||
|
- un fichier chiffré à déchiffré
|
||||||
|
|
||||||
|
|
||||||
|
Liens
|
||||||
|
-----
|
||||||
|
|
57
content/exercices/Dans mon téléphone, il y a....md
Normal file
57
content/exercices/Dans mon téléphone, il y a....md
Normal file
@ -0,0 +1,57 @@
|
|||||||
|
---
|
||||||
|
date: 2023-03-24T13:34:21+01:00
|
||||||
|
title: Dans mon téléphone, il y a…
|
||||||
|
---
|
||||||
|
|
||||||
|
L’objectif de cet exercice est de travailler sur des formats de fichiers propres à l’écosystème Apple.
|
||||||
|
|
||||||
|
{{% tag %}}Téléphone{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Facile{{% /tag %}}
|
||||||
|
|
||||||
|
Contexte du défi
|
||||||
|
----------------
|
||||||
|
|
||||||
|
Vous enquêtez sur la disparition de votre amant.
|
||||||
|
|
||||||
|
Vous avez réussi à récupérer son téléphone. Retrouvez-le.
|
||||||
|
|
||||||
|
Infrastructure à mettre en place
|
||||||
|
--------------------------------
|
||||||
|
|
||||||
|
Un/des appareils dans l’écosystème Apple.
|
||||||
|
|
||||||
|
En fonction du type de fichier que vous voulez faire analyser, il vous faut générer les informations (géolocalisation, images, sons, …).
|
||||||
|
|
||||||
|
Pas-à-pas
|
||||||
|
---------
|
||||||
|
|
||||||
|
Votre amant est lui-même informaticien, il sait dissimuler des informations dans les fichiers de ses appareils.
|
||||||
|
|
||||||
|
Les fichiers vous aident à comprendre ses itinéraires, rencontres, etc.
|
||||||
|
|
||||||
|
Il a dissimulé des informations dans les metadonnées de quelques fichiers.
|
||||||
|
|
||||||
|
Avec l’ensemble des informations, vous retrouvez sa trace.
|
||||||
|
|
||||||
|
Risques
|
||||||
|
-------
|
||||||
|
|
||||||
|
Potentiellement besoin de matériel Apple.
|
||||||
|
|
||||||
|
Traces à enregistrer
|
||||||
|
--------------------
|
||||||
|
Fichiers à fournir :
|
||||||
|
- Ressources acquises sur le téléphone/tablette/Mac ou une sauvegarde
|
||||||
|
|
||||||
|
Questions à poser :
|
||||||
|
- Insister sur les spécificité de l’appareil, la version
|
||||||
|
- lieux, endroits
|
||||||
|
- information dans les métadonnées
|
||||||
|
|
||||||
|
Liens
|
||||||
|
-----
|
||||||
|
|
||||||
|
[Forensic sur iOS](https://www.prplbx.com/resources/blog/ios-forensics-guide/)
|
||||||
|
|
||||||
|
[Ressources sur le forensic iOS](https://resources.infosecinstitute.com/topic/ios-forensics/)
|
48
content/exercices/GeoGuessr niveau expert.md
Normal file
48
content/exercices/GeoGuessr niveau expert.md
Normal file
@ -0,0 +1,48 @@
|
|||||||
|
---
|
||||||
|
date: 2023-04-08
|
||||||
|
title: GeoGuessr niveau expert
|
||||||
|
---
|
||||||
|
|
||||||
|
Retrouver un lieu précis à partir d'un témoignage précis (liste d'indication) (avec l'utilisation très recommandée d'un outil de type overpass turbo )
|
||||||
|
|
||||||
|
{{% tag %}}osint{{% /tag %}}
|
||||||
|
{{% tag %}}facile{{% /tag %}}
|
||||||
|
|
||||||
|
|
||||||
|
Contexte du défi
|
||||||
|
----------------
|
||||||
|
|
||||||
|
Vous faites partie d'une cellule d'enquête chargée de retrouver le lieu ou ont été cachée des pièces à convictions, vous n'avez que des déclarations de lieu et de distance relative. Arriverez vous à trouver l'endroit ?
|
||||||
|
|
||||||
|
|
||||||
|
Infrastructure à mettre en place
|
||||||
|
--------------------------------
|
||||||
|
|
||||||
|
N/A
|
||||||
|
|
||||||
|
|
||||||
|
Pas-à-pas
|
||||||
|
---------
|
||||||
|
|
||||||
|
Soyez plus ou moins original.
|
||||||
|
|
||||||
|
|
||||||
|
Risques
|
||||||
|
-------
|
||||||
|
|
||||||
|
Trouver un lieu trouvable soit comme un bourrin sur google maps (+++ long) soit en passant par overpass turbo (mais il faut que le lieu ou en tout cas les élements menant au lieu, soient référencées sur openstreet map vu que c'est ce sur quoi se base le tool)
|
||||||
|
|
||||||
|
|
||||||
|
Traces à enregistrer
|
||||||
|
--------------------
|
||||||
|
|
||||||
|
- Description des lieux et du chemin
|
||||||
|
|
||||||
|
|
||||||
|
Liens
|
||||||
|
-----
|
||||||
|
|
||||||
|
[Overpass Turbo](https://www.bellingcat.com/resources/2020/12/03/using-the-sun-and-the-shadows-for-geolocation/
|
||||||
|
https://overpass-turbo.eu/)
|
||||||
|
|
||||||
|
[ex d'utilisation d'overpass turbo](https://github.com/BreizhCTF/breizhctf-2023/blob/main/challenges/osint/bar_ou_turbot/WriteUp/WriteUp.md)
|
52
content/exercices/Géolocalisation.md
Normal file
52
content/exercices/Géolocalisation.md
Normal file
@ -0,0 +1,52 @@
|
|||||||
|
---
|
||||||
|
date: 2023-04-08
|
||||||
|
title: Géolocalisation
|
||||||
|
---
|
||||||
|
|
||||||
|
Utiliser un système d'antenne bluetooth pour arriver à géolocaliser le chemin d'un individu malveillant dans un supermarché.
|
||||||
|
|
||||||
|
{{% tag %}}bluetooth{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}moyen?{{% /tag %}}
|
||||||
|
|
||||||
|
|
||||||
|
Contexte du défi
|
||||||
|
----------------
|
||||||
|
|
||||||
|
Votre super nouveau magasin hightech est équipé d'un système de capteurs bluetooth dispersé dans le magasin permettant le tracking en temps réel de tout le téléphone ayant ce dernier activé (soit quasiement tout les clients).
|
||||||
|
|
||||||
|
Cependant un individu semble s'être échappé en courant sans que nous ayons pu l'attraper ... malheureusement les caméras étaient en maintenance à ce moment donc nous ne savons pas ce qu'il a pu dérober.
|
||||||
|
|
||||||
|
Sauriez vous retracer son chemin et voir sur quel rayon s'est-il attardé ?
|
||||||
|
|
||||||
|
|
||||||
|
Infrastructure à mettre en place
|
||||||
|
--------------------------------
|
||||||
|
|
||||||
|
- Avoir un nombre suffisant de capteur bluetooth permettant d'essayer de faire une triangulation d'une source émettrice et les dispersers dans une zone relativement étendu (comme le lab)
|
||||||
|
|
||||||
|
- faire une carte de la zone qui sera notre supermarché avec des rayons etc
|
||||||
|
|
||||||
|
|
||||||
|
Pas-à-pas
|
||||||
|
---------
|
||||||
|
|
||||||
|
Libre.
|
||||||
|
|
||||||
|
|
||||||
|
Risques
|
||||||
|
-------
|
||||||
|
|
||||||
|
- Avoir suffisament de capteur (au moins 6/7 serait le minimum je pense mais bon à voir)
|
||||||
|
|
||||||
|
|
||||||
|
Traces à enregistrer
|
||||||
|
--------------------
|
||||||
|
|
||||||
|
- Enregistrement bluetooth
|
||||||
|
- Carte du magasin
|
||||||
|
|
||||||
|
|
||||||
|
Liens
|
||||||
|
-----
|
||||||
|
|
58
content/exercices/Incompréhensible.md
Normal file
58
content/exercices/Incompréhensible.md
Normal file
@ -0,0 +1,58 @@
|
|||||||
|
---
|
||||||
|
date: 2023-04-08
|
||||||
|
title: Incompréhensible
|
||||||
|
---
|
||||||
|
|
||||||
|
Analyse d'un malware utilisant utilisant une sorte de packinng avec un jeu d'instruction personnalisé.
|
||||||
|
|
||||||
|
|
||||||
|
{{% tag %}}reverse{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}difficile{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}TAG{{% /tag %}}
|
||||||
|
|
||||||
|
|
||||||
|
Contexte du défi
|
||||||
|
----------------
|
||||||
|
|
||||||
|
Libre
|
||||||
|
|
||||||
|
|
||||||
|
Infrastructure à mettre en place
|
||||||
|
--------------------------------
|
||||||
|
|
||||||
|
Un ordinateur infecté par le malware
|
||||||
|
|
||||||
|
Pas-à-pas
|
||||||
|
---------
|
||||||
|
|
||||||
|
Faire un programme implémentant un jeu d’instructions ressemblant à un assembleur (ou pseudo language ou ce que vous voulez)
|
||||||
|
|
||||||
|
Faire un système permettant d'interpréter ces instruction en "réelles instructions"
|
||||||
|
|
||||||
|
Dans un second temps votre malware devra soit récupérer du réseau soit, avec packé en lui, la liste de votre suite d'insutctions malveillante à executer pour effectuer ses actions.
|
||||||
|
|
||||||
|
|
||||||
|
Risques
|
||||||
|
-------
|
||||||
|
|
||||||
|
Il faut essayer de contrer au maximum l'analyse dynamique
|
||||||
|
|
||||||
|
Il faudrait y avoir suffisamment d’instruction diverses et variées dans votre système d’interprétation.
|
||||||
|
|
||||||
|
Ne pas utiliser directement d'outil déjà faits. Vous pouvez en modifier si le résultat est suffisamment différent.
|
||||||
|
|
||||||
|
|
||||||
|
Traces à enregistrer
|
||||||
|
--------------------
|
||||||
|
|
||||||
|
- Dump de RAM contenant le malware
|
||||||
|
|
||||||
|
|
||||||
|
Liens
|
||||||
|
-----
|
||||||
|
|
||||||
|
[Le packing](https://kindredsec.wordpress.com/2020/01/07/the-basics-of-packed-malware-manually-unpacking-upx-executables/)
|
||||||
|
|
||||||
|
[Reverse VMProtect binary](https://resources.infosecinstitute.com/topic/reverse-engineering-virtual-machine-protected-binaries/)
|
52
content/exercices/Le discord de la discorde.md
Normal file
52
content/exercices/Le discord de la discorde.md
Normal file
@ -0,0 +1,52 @@
|
|||||||
|
---
|
||||||
|
date: 2023-04-08
|
||||||
|
title: Le discord de la discorde
|
||||||
|
---
|
||||||
|
|
||||||
|
Retrouver un coupable d'exfiltrations d'informations par discord.
|
||||||
|
|
||||||
|
Idéalement ça pourrait être une copie des fichiers data de discord sur un mobile.
|
||||||
|
|
||||||
|
{{% tag %}}Messageries{{% /tag %}}
|
||||||
|
{{% tag %}}Moyen{{% /tag %}}
|
||||||
|
|
||||||
|
|
||||||
|
Contexte du défi
|
||||||
|
----------------
|
||||||
|
|
||||||
|
Lors de votre enquête vous êtes sur qu'un employé à utilisé une application mobile pour envoyer des documents confidentiels à un concurent. Il ne vous manque plus que la preuve de ces faits pour conclure votre dossier !
|
||||||
|
|
||||||
|
Vous avez récupéré une copie des données data de son téléphone. Arriverez vous à trouver quels documents ont été partagés et à qui ?
|
||||||
|
|
||||||
|
|
||||||
|
Infrastructure à mettre en place
|
||||||
|
--------------------------------
|
||||||
|
|
||||||
|
- Téléphone rooté pour récupérer facilement les données discord
|
||||||
|
- Suffisament d'échange discord pour essayer de noyer le poisson
|
||||||
|
|
||||||
|
|
||||||
|
|
||||||
|
Pas-à-pas
|
||||||
|
---------
|
||||||
|
|
||||||
|
Libre.
|
||||||
|
|
||||||
|
|
||||||
|
Risques
|
||||||
|
-------
|
||||||
|
|
||||||
|
- une quantité suffisante de message
|
||||||
|
- discord publique ou non ? (probablement pas le droit)
|
||||||
|
- les données discord peuvent être pénible à comprendre
|
||||||
|
- un simple strings / grep ne doivent pas remonter vos infos
|
||||||
|
|
||||||
|
Traces à enregistrer
|
||||||
|
--------------------
|
||||||
|
|
||||||
|
- données data du téléphone
|
||||||
|
|
||||||
|
|
||||||
|
Liens
|
||||||
|
-----
|
||||||
|
|
48
content/exercices/Morse Attaque !.md
Normal file
48
content/exercices/Morse Attaque !.md
Normal file
@ -0,0 +1,48 @@
|
|||||||
|
---
|
||||||
|
date: 2023-04-11T23:00:00+01:00
|
||||||
|
title: Morse Attaque !
|
||||||
|
---
|
||||||
|
|
||||||
|
Afin de diversifier des exercices sur des ordinateurs Intel, pourquoi ne pas travailler sur de l’Arduino ? Et faire un peu d’électronique par la même occasion ! Et puis, pourquoi pas ne pas apprendre le morse aussi ?
|
||||||
|
|
||||||
|
{{% tag %}}Arduino{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Système{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Électronique{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Moyen/Difficile{{% /tag %}}
|
||||||
|
|
||||||
|
## Contexte
|
||||||
|
|
||||||
|
JustHack est la boîte concurrente de votre entreprise, Hack’N’Snack. Depuis le lancement de son dernier prototype, elle vous fait de l’ombre.
|
||||||
|
|
||||||
|
Afin de remédier à cela, votre directeur vous ordonne de vous y faire embaucher, afin de récupérer les plans de leur prochain prototype.
|
||||||
|
|
||||||
|
Une fois arrivé à JustHack, ni une ni deux, vous réfléchissez au meilleur moyen d’exfiltrer des données sans que personne ne s’en rende compte : utiliser l’Arduino qu’on vous a fourni, en faisant clignoter en morse la/les LEDs qu’elle possède !
|
||||||
|
|
||||||
|
À votre insu, votre collègue, trouvant bizarre de voir la/les LEDs de votre Arduino clignoter constamment, décide d’investiguer.
|
||||||
|
|
||||||
|
## Infrastructure à mettre en place
|
||||||
|
|
||||||
|
Seront nécessaires dans l'infrastructure :
|
||||||
|
- 1 Arduino (ou une machine Linux avec une led si vous ne pouvez pas vous procurer un Arduino)
|
||||||
|
|
||||||
|
## Pas-à-pas
|
||||||
|
|
||||||
|
Apprendre le morse.
|
||||||
|
Encoder les données à exfiltrer en morse.
|
||||||
|
Faire clignoter la/les LEDs en morse.
|
||||||
|
|
||||||
|
## Traces à enregistrer
|
||||||
|
|
||||||
|
Fichiers à fournir :
|
||||||
|
- Dump de RAM de l’Arduino
|
||||||
|
- Et/ou dump de disque de l’Arduino
|
||||||
|
|
||||||
|
Questions à poser :
|
||||||
|
- Liste des condensats des fichiers exfiltrés
|
||||||
|
|
||||||
|
## Liens
|
||||||
|
|
||||||
|
[Le morse](https://fr.wikipedia.org/wiki/Code_Morse_international)
|
19
content/exercices/OLD New GOOD News.md
Normal file
19
content/exercices/OLD New GOOD News.md
Normal file
@ -0,0 +1,19 @@
|
|||||||
|
---
|
||||||
|
date: 2023-03-24T13:34:21+01:00
|
||||||
|
title: OLD New GOOD News
|
||||||
|
---
|
||||||
|
|
||||||
|
OLD New GOOD News
|
||||||
|
|
||||||
|
À ce jour, bien que le fax est très méconnu de la génération actuelle, il est encore énormément utilisé dans les entreprises. Il y a plus de 300 millions de numéros de fax encore utilisés à ce jour. Cette technologie peut cependant être un vecteur d’attaque de nos jours.
|
||||||
|
Ce vecteur d’attaque a fait l’objet d’une étude par les chercheurs dans l’étude ci-dessous.
|
||||||
|
|
||||||
|
## Infrastructure et pas-à-pas
|
||||||
|
|
||||||
|
Décrit dans l’article ci-dessous.
|
||||||
|
https://research.checkpoint.com/2018/sending-fax-back-to-the-dark-ages/
|
||||||
|
|
||||||
|
## Traces à enregistrer :
|
||||||
|
- Logs du fax,
|
||||||
|
- Jpeg contenant le payload,
|
||||||
|
- Logs du firewall montrant la latéralisation sur le réseau,
|
28
content/exercices/Once open a time, Long time ago.md
Normal file
28
content/exercices/Once open a time, Long time ago.md
Normal file
@ -0,0 +1,28 @@
|
|||||||
|
---
|
||||||
|
date: 2023-03-24T13:34:21+01:00
|
||||||
|
title: Once open a time, Long time ago…
|
||||||
|
---
|
||||||
|
|
||||||
|
Once open a time, Long time ago …
|
||||||
|
|
||||||
|
Certains attaquants ayant pris le contrôle d’une infrastructure peu surveiller peuvent installer des services comme une plateforme de phishing.
|
||||||
|
|
||||||
|
## Contexte
|
||||||
|
Une injection sur un site vitrine a permis à l’attaquant de s’infiltrer sur le système. Il réalise une élévation de privilège et installe par la suite son infrastructure de phishing.
|
||||||
|
|
||||||
|
## Infrastructure
|
||||||
|
- 1 routeur
|
||||||
|
- 1 pare-feu
|
||||||
|
- 3 serveurs/VM ;
|
||||||
|
- 2 postes clients.
|
||||||
|
|
||||||
|
## Pas-à-Pas
|
||||||
|
|
||||||
|
CVE-2021-21972
|
||||||
|
Le client vSphere est affecté par une vulnérabilité d'exécution de code à distance dans un plugin vCenter Server. Un acteur malveillant disposant d'un accès réseau au port 443 pourrait exploiter ce problème pour exécuter des commandes avec des privilèges non restreints sur le système d'exploitation sous-jacent qui héberge le vCenter Server.
|
||||||
|
Cette vulnérabilité est suivie en tant que CVE-2021-21972. Le plugin vCenter de vRealize Operations est à l'origine de cette vulnérabilité. Un attaquant peut exploiter le système vulnérable à distance en téléchargeant un fichier
|
||||||
|
|
||||||
|
|
||||||
|
## Printnightmare :
|
||||||
|
PrintNightmare est une vulnérabilité de sécurité critique affectant le système d'exploitation Microsoft Windows. La vulnérabilité se produit dans le service de spooler d'impression. Il existe deux variantes, l'une permettant l'exécution de code à distance (CVE-2021-34527), et l'autre conduisant à une élévation de privilèges (CVE-2021-1675).
|
||||||
|
https://blog.sygnia.co/demystifying-the-print-nightmare-vulnerability
|
53
content/exercices/Oui allô ? Android.md
Normal file
53
content/exercices/Oui allô ? Android.md
Normal file
@ -0,0 +1,53 @@
|
|||||||
|
---
|
||||||
|
date: 2023-03-24T13:34:21+01:00
|
||||||
|
title: Oui, allô ?
|
||||||
|
---
|
||||||
|
|
||||||
|
{{% tag %}}Téléphone{{% /tag %}}
|
||||||
|
|
||||||
|
Contexte du défi
|
||||||
|
----------------
|
||||||
|
|
||||||
|
Votre ami a passé son téléphone à un inconnu dans la rue.
|
||||||
|
Maintenant votre ami s’inquiète.
|
||||||
|
Rassurez le, ou pas.
|
||||||
|
|
||||||
|
Infrastructure à mettre en place
|
||||||
|
--------------------------------
|
||||||
|
|
||||||
|
Un modèle de téléphone sous Android.
|
||||||
|
|
||||||
|
En fonction de la vulnérabilité choisi ou si vous utiliser votre logiciel malveillant, il faut la bonne version d’android ou le bon matériel.
|
||||||
|
|
||||||
|
Pas-à-pas
|
||||||
|
---------
|
||||||
|
|
||||||
|
Libre du moment que le téléphone est sous Android.
|
||||||
|
|
||||||
|
Quelques idées :
|
||||||
|
- Abuser d’une configuration par défaut ou voulue (dev par exemple)
|
||||||
|
- ADB
|
||||||
|
- Attaques physiques (plug de materiel malveillant, etc.)
|
||||||
|
- CVE sur un appareil pas à jour
|
||||||
|
- Sur certains téléphones il est possible, avec un accès physique (le cas de notre contexte) d’accéder ou de déverrouiller des fonctionnalités bas-niveau (bootloader)
|
||||||
|
|
||||||
|
Risques
|
||||||
|
-------
|
||||||
|
|
||||||
|
Besoin de matériel (le téléphone).
|
||||||
|
Possibilités de virtualisation du téléphone mais limite les attaques physiques.
|
||||||
|
|
||||||
|
Traces à enregistrer
|
||||||
|
--------------------
|
||||||
|
Fichiers à fournir :
|
||||||
|
- Dump de RAM du téléphone
|
||||||
|
- Dump système de fichier
|
||||||
|
- Possiblement une APK d’une application
|
||||||
|
|
||||||
|
Questions à poser :
|
||||||
|
- Insister sur les spécificité de l’appareil, la version ou l’implémentation de votre binaire
|
||||||
|
|
||||||
|
Liens
|
||||||
|
-----
|
||||||
|
|
||||||
|
[Android Hackers Handbook](https://archive.org/details/AndroidHackersHandbook)
|
64
content/exercices/Pêche au coquillage.md
Normal file
64
content/exercices/Pêche au coquillage.md
Normal file
@ -0,0 +1,64 @@
|
|||||||
|
---
|
||||||
|
date: 2023-04-08
|
||||||
|
title: Pêche au coquillage
|
||||||
|
---
|
||||||
|
|
||||||
|
Malgré de nombreuses tentative de se protéger contre cela, les document office servent toujours dans de nombreuses attaques, que ça soit pour de la malveillance comme pour de l'audit de sécurité (sensibilisation ou red team).
|
||||||
|
|
||||||
|
Le but de cette exercice est à partir d'une copie de boites mail de plusieurs personnel de l'entreprise de retrouver le document malveillant, de l'analyser pour en retirer des IOC permettant une étude plus approfondie.
|
||||||
|
|
||||||
|
{{% tag %}}Office{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Phishing{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Windows{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Moyen{{% /tag %}}
|
||||||
|
|
||||||
|
|
||||||
|
Contexte du défi
|
||||||
|
----------------
|
||||||
|
|
||||||
|
Un ransomware s'est déclaré dans l'entreprise ! Vous faite partie de l'équipe chargée de gérer cette réponse à incident. Votre mission est d'essayer de comprendre par où l'attaquant à pu entrer, pour cela vous avez comme tâche préliminaire d'étudier les échanges mails des personnes du service compromis.
|
||||||
|
|
||||||
|
Il y a t il des éléments d'intérêt ?
|
||||||
|
|
||||||
|
|
||||||
|
Infrastructure à mettre en place
|
||||||
|
--------------------------------
|
||||||
|
|
||||||
|
- Serveur de mail
|
||||||
|
- plusieurs poste pouvant communiquer avec le serveur de mail
|
||||||
|
- un serveur vers lequel votre document office malveillant doit pouvoir communiquer (un C&C quelconque fera l'affaire, il ne sera pas donné au joueur ici)
|
||||||
|
|
||||||
|
|
||||||
|
Pas-à-pas
|
||||||
|
---------
|
||||||
|
|
||||||
|
- analyse des boites mails
|
||||||
|
- récupération du document office (il faudrait que ça ne soit pas le seul)
|
||||||
|
- analyse du document
|
||||||
|
- récupération de la macro & analyse
|
||||||
|
- extraction de son comportement & IOC
|
||||||
|
|
||||||
|
|
||||||
|
Risques
|
||||||
|
-------
|
||||||
|
|
||||||
|
- Les ip doivent être réaliste, avec des noms de domaines réaliste. Il faudra bien setup les serveurs dns de votre infra pour ça
|
||||||
|
|
||||||
|
- la macro ne doit pas être un truc trop générique (pas un truc basique généré par métasploit, idéalement généré par vous meme avec un peu d'obfuscation ?)
|
||||||
|
|
||||||
|
- les mails doivent être suffisamenet nombreux et pertinent (mix de vrai message et pub peuvent faire l'affaire). Avec une temporalité pertinente
|
||||||
|
|
||||||
|
Traces à enregistrer
|
||||||
|
--------------------
|
||||||
|
|
||||||
|
- extractions des boites mails
|
||||||
|
|
||||||
|
- génération d'un document pertinent avec une vraie macro faisait une action malveillante (droppper ? execution de code ? au choix)
|
||||||
|
|
||||||
|
|
||||||
|
Liens
|
||||||
|
-----
|
||||||
|
|
49
content/exercices/Piqûre de moustique.md
Normal file
49
content/exercices/Piqûre de moustique.md
Normal file
@ -0,0 +1,49 @@
|
|||||||
|
---
|
||||||
|
date: 2023-04-11T23:00:00+01:00
|
||||||
|
title: Piqûre de moustique
|
||||||
|
---
|
||||||
|
|
||||||
|
Les injections dans des processus, que ce soit sur un système Windows, Linux ou Mac, sont des sujets très peu vus à l’école. Quoi de mieux pour découvrir cette thématique que de réaliser un exercice à ce sujet ?
|
||||||
|
|
||||||
|
Cet exercice consiste à découvrir une injection sous Linux (utilisation de la variable d’environnement LD_PRELOAD…), ainsi qu’à découvrir le format ELF.
|
||||||
|
|
||||||
|
{{% tag %}}Linux{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Système{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}ELF{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Injection{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Moyen{{% /tag %}}
|
||||||
|
|
||||||
|
## Contexte
|
||||||
|
|
||||||
|
Anne Pano’Nyme est infirmière dans un hôpital de province. Depuis quelques années, elle s’est prise de passion pour l’informatique et s’y exerce dans son temps libre. Elle s’est essayée à divers domaines et a même récemment mis en place un serveur chez elle !
|
||||||
|
|
||||||
|
Cependant, depuis quelques jours, son serveur semble ramer. Anne se souvient que peu de temps avant, elle a installé un programme envoyé par un collègue. Se pourrait-il que cet exécutable eut été malveillant ?
|
||||||
|
|
||||||
|
Forte de ses compétences acquises au fil des ans, Anne débute son investigation.
|
||||||
|
|
||||||
|
|
||||||
|
|
||||||
|
## Infrastructure à mettre en place
|
||||||
|
|
||||||
|
Seront nécessaires dans l'infrastructure :
|
||||||
|
- 1 client/VM (Linux)
|
||||||
|
|
||||||
|
## Pas-à-pas
|
||||||
|
|
||||||
|
Etudier les différentes méthodes d’injection sous Linux
|
||||||
|
Etudier le format ELF
|
||||||
|
|
||||||
|
## Traces à enregistrer
|
||||||
|
|
||||||
|
Fichiers à fournir :
|
||||||
|
- un dump de RAM du PC
|
||||||
|
|
||||||
|
Questions à poser :
|
||||||
|
- Nom du programme malveillant (on le trouve dans le dump de RAM)
|
||||||
|
- Condensat de l’exécutable récupéré
|
||||||
|
|
||||||
|
## Liens
|
42
content/exercices/Poupées Russes.md
Normal file
42
content/exercices/Poupées Russes.md
Normal file
@ -0,0 +1,42 @@
|
|||||||
|
---
|
||||||
|
date: 2023-04-11T23:00:00+01:00
|
||||||
|
title: Poupées Russes
|
||||||
|
---
|
||||||
|
|
||||||
|
Êtes-vous sûrs que le PDF que vous venez d’ouvrir avec votre logiciel de visualisation préféré ne pourrait pas en fait être aussi une page HTML ?
|
||||||
|
|
||||||
|
Certains formats de fichiers peuvent se faire passer pour d’autres types de fichiers. On les appelle les « fichiers polyglottes ».
|
||||||
|
|
||||||
|
Travailler sur ces fichiers permet de vous faire découvrir un sujet fun tout en permettant aux joueurs de tenter de résoudre un exercice original.
|
||||||
|
|
||||||
|
{{% tag %}}Formats de fichiers{{% /tag %}}
|
||||||
|
{{% tag %}}Difficile{{% /tag %}}
|
||||||
|
|
||||||
|
## Contexte du défi
|
||||||
|
|
||||||
|
Libre.
|
||||||
|
|
||||||
|
## Infrastructure à mettre en place
|
||||||
|
|
||||||
|
Seront nécessaires dans l'infrastructure :
|
||||||
|
- 1 client/VM
|
||||||
|
|
||||||
|
## Pas-à-pas
|
||||||
|
|
||||||
|
Déterminer les formats de fichiers qu’il est possible d’utiliser
|
||||||
|
Tester les générateurs de fichiers polyglottes.
|
||||||
|
|
||||||
|
Soyez créatifs ! Faites-en sorte de ne pas juste changer l’extension du fichier pour résoudre l’exercice. Par exemple, votre fichier pourrait être une image contenant une indication permettant de déchiffrer l’archive, lorsque le fichier est mis au format .zip
|
||||||
|
|
||||||
|
## Traces à enregistrer
|
||||||
|
|
||||||
|
Fichiers à fournir :
|
||||||
|
- à déterminer
|
||||||
|
|
||||||
|
Questions à poser :
|
||||||
|
- Liste des formats par lesquels il faut passer pour atteindre l’exécutable
|
||||||
|
- Condensat de l’exécutable récupéré
|
||||||
|
|
||||||
|
## Ressources
|
||||||
|
|
||||||
|
[Le GitHub d’Ange Albertini](https://github.com/angea)
|
54
content/exercices/Prison break.md
Normal file
54
content/exercices/Prison break.md
Normal file
@ -0,0 +1,54 @@
|
|||||||
|
---
|
||||||
|
date: 2023-03-24T13:34:21+01:00
|
||||||
|
title: Prison break
|
||||||
|
---
|
||||||
|
|
||||||
|
{{% tag %}}Apple{{% /tag %}}
|
||||||
|
{{% tag %}}Bypass{{% /tag %}}
|
||||||
|
|
||||||
|
Contexte du défi
|
||||||
|
----------------
|
||||||
|
|
||||||
|
Les informations confidentielles de votre entreprise ont fuités, la seul origine possible est une machine sous macOS.
|
||||||
|
|
||||||
|
Infrastructure à mettre en place
|
||||||
|
--------------------------------
|
||||||
|
|
||||||
|
Une machine sous macOS.
|
||||||
|
|
||||||
|
Pas-à-pas
|
||||||
|
---------
|
||||||
|
|
||||||
|
Vous devez créer un environnement sur une machine macOS aillant activé le SIP (System Integrity Protection).
|
||||||
|
|
||||||
|
Le SIP doit être contourné par un binaire malveillant.
|
||||||
|
|
||||||
|
Risques
|
||||||
|
-------
|
||||||
|
|
||||||
|
Vous devez avoir le matériel (mac).
|
||||||
|
|
||||||
|
Le matériel doit être sous la bonne version.
|
||||||
|
|
||||||
|
Votre système doit utiliser SIP.
|
||||||
|
|
||||||
|
Traces à enregistrer
|
||||||
|
--------------------
|
||||||
|
|
||||||
|
Fichiers à fournir :
|
||||||
|
- logs système propre aux mac
|
||||||
|
- dump de RAM ou système de fichiers
|
||||||
|
|
||||||
|
Questions à poser :
|
||||||
|
- Spécificités qui montre que SIP a été contourné
|
||||||
|
|
||||||
|
Liens
|
||||||
|
-----
|
||||||
|
|
||||||
|
[SIP](https://support.apple.com/en-us/HT204899)
|
||||||
|
|
||||||
|
[Analyse de la CVE 2022-22583](https://perception-point.io/blog/technical-analysis-cve-2022-22583/)
|
||||||
|
|
||||||
|
[PoC CVE 2022-22583](https://github.com/fzxcp3/CVE-2022-22583/tree/main/CVE-2022-22583)
|
||||||
|
|
||||||
|
[Ressources sur la sécurité d’Apple](https://help.apple.com/pdf/security/en_GB/apple-platform-security-guide-b.pdf)
|
61
content/exercices/Qui a peur des piqûres ?.md
Normal file
61
content/exercices/Qui a peur des piqûres ?.md
Normal file
@ -0,0 +1,61 @@
|
|||||||
|
---
|
||||||
|
date: 2023-04-10T23:00:00+01:00
|
||||||
|
title: Qui a peur des piqûres ?
|
||||||
|
---
|
||||||
|
|
||||||
|
Les injections dans des processus, que ce soit sur un système Windows, Linux ou Mac, sont des sujets très peu vus à l’école. Quoi de mieux pour découvrir cette thématique que de réaliser un exercice à ce sujet ?
|
||||||
|
|
||||||
|
Cet exercice consiste à découvrir l’injection appelée « Process Hollowing », sous Windows, ainsi qu’à découvrir le format PE.
|
||||||
|
|
||||||
|
{{% tag %}}Windows{{% /tag %}}
|
||||||
|
{{% tag %}}Système{{% /tag %}}
|
||||||
|
{{% tag %}}PE{{% /tag %}}
|
||||||
|
{{% tag %}}Injection{{% /tag %}}
|
||||||
|
{{% tag %}}Moyen{{% /tag %}}
|
||||||
|
|
||||||
|
Contexte du défi
|
||||||
|
----------------
|
||||||
|
|
||||||
|
Anne O’Nyme est infirmière dans un hôpital de province. Depuis quelques années, elle s’est prise de passion pour l’informatique et s’y exerce dans son temps libre. Elle s’est essayée à divers domaines et a même récemment mis en place un serveur chez elle !
|
||||||
|
|
||||||
|
Cependant, depuis quelques jours, son serveur semble ramer. Anne se souvient que peu de temps avant, elle a installé un programme envoyé par un collègue. Se pourrait-il que cet exécutable eut été malveillant ?
|
||||||
|
|
||||||
|
Forte de ses compétences acquises au fil des ans, Anne débute son investigation.
|
||||||
|
|
||||||
|
Infrastructure à mettre en place
|
||||||
|
--------------------------------
|
||||||
|
|
||||||
|
Seront nécessaires dans l'infrastructure :
|
||||||
|
1 serveur/VM (Windows Server)
|
||||||
|
|
||||||
|
Pas-à-pas
|
||||||
|
---------
|
||||||
|
|
||||||
|
L’exécutable fourni par le collègue d’Anne était en fait un logiciel malveillant (cryptominer, …) !
|
||||||
|
|
||||||
|
En effet, une fois exécuté, celui-ci s’injecte dans un processus Windows à l’aide du Process Hollowing, rajoute quelques points de persistance et supprime ensuite le fichier d’origine.
|
||||||
|
|
||||||
|
En tant que joueur, les étapes de résolution sont les suivantes :
|
||||||
|
- Déterminer le processus malveillant dans le dump de RAM
|
||||||
|
- Examiner la mémoire de ce processus et en récupérer le PE du binaire
|
||||||
|
- Analyser le binaire récupéré pour répondre aux questions
|
||||||
|
|
||||||
|
Traces à enregistrer
|
||||||
|
--------------------
|
||||||
|
|
||||||
|
Fichiers à fournir :
|
||||||
|
- un dump de RAM du serveur d’Anne
|
||||||
|
|
||||||
|
Questions à poser :
|
||||||
|
- Nom du programme malveillant (on le trouve dans le dump de RAM)
|
||||||
|
- Nom du processus « malveillant » (car sans l’injection il n’est pas malveillant)
|
||||||
|
- Condensat de l’exécutable récupéré
|
||||||
|
|
||||||
|
Liste des fonctionnalités du binaire : - quelques éléments de persistances, but du binaire (cryptominer ou autre), auto-suppression, …
|
||||||
|
|
||||||
|
Ressources
|
||||||
|
-----
|
||||||
|
|
||||||
|
[La documentation Microsoft sur les PE](https://learn.microsoft.com/en-us/windows/win32/debug/pe-format)
|
||||||
|
|
||||||
|
[Process Hollowing](https://attack.mitre.org/techniques/T1055/012/)
|
60
content/exercices/Trampoline.md
Normal file
60
content/exercices/Trampoline.md
Normal file
@ -0,0 +1,60 @@
|
|||||||
|
---
|
||||||
|
date: 2023-03-24T13:34:21+01:00
|
||||||
|
title: Trampoline
|
||||||
|
---
|
||||||
|
|
||||||
|
Vous allez modifier un antivirus pour laisser passer votre propre cheval de Troie !
|
||||||
|
C’est le moment de bidouiller ClamAV.
|
||||||
|
|
||||||
|
Ou vous pouvez exploiter un antivirus existant, à vous de voir.
|
||||||
|
|
||||||
|
{{% tag %}}Antivirus{{% /tag %}}
|
||||||
|
|
||||||
|
Contexte du défi
|
||||||
|
----------------
|
||||||
|
|
||||||
|
Un PC est compromis par un ransomware.
|
||||||
|
Pourtant, l’antivirus est censé bloqué ce malware sorti il y a déjà quelque temps… Vous investiguez
|
||||||
|
|
||||||
|
Infrastructure à mettre en place
|
||||||
|
--------------------------------
|
||||||
|
|
||||||
|
Libre.
|
||||||
|
Quelques exemples :
|
||||||
|
- Un routeur sous openBSD
|
||||||
|
- Un serveur de mail
|
||||||
|
- Un poste d’un particulier
|
||||||
|
|
||||||
|
Pas-à-pas
|
||||||
|
---------
|
||||||
|
|
||||||
|
Vous devez modifier un antivirus (opensource) ou compromettre un antivirus existant.
|
||||||
|
|
||||||
|
L’antivirus modifié ou compromis laisse passer le malware.
|
||||||
|
|
||||||
|
Risques
|
||||||
|
-------
|
||||||
|
|
||||||
|
Trouver une compromission d’antivirus est plus difficile que de modifier un antivirus open source. Il faut aussi trouver la bonne version de l’antivirus
|
||||||
|
|
||||||
|
Dans le cas d’une modification d’un antivirus, il faut lire un minimum de code pour comprendre vaguement son fonctionnement.
|
||||||
|
|
||||||
|
Traces à enregistrer
|
||||||
|
--------------------
|
||||||
|
|
||||||
|
Fichiers à fournir :
|
||||||
|
- Dump de RAM
|
||||||
|
- Dump Filesystem
|
||||||
|
- Log système (dont antivirus)
|
||||||
|
|
||||||
|
Questions à poser :
|
||||||
|
- Implementation de l’antivrus
|
||||||
|
- Pourquoi le malware est passé
|
||||||
|
- Impact de l’antivirus sur le système
|
||||||
|
|
||||||
|
Liens
|
||||||
|
-----
|
||||||
|
|
||||||
|
[Clamav open-source](antivirus (https://docs.clamav.net/manual/Installing/Installing-from-source-Unix.html)
|
||||||
|
|
||||||
|
[Windows CVE-2021-31985](https://www.pixiepointsecurity.com/blog/nday-cve-2021-31985.html) (Si vous arrivez à le faire fonctionner…)
|
54
content/exercices/Un petit coup de propre.md
Normal file
54
content/exercices/Un petit coup de propre.md
Normal file
@ -0,0 +1,54 @@
|
|||||||
|
---
|
||||||
|
date: 2023-04-10T23:00:00+01:00
|
||||||
|
title: Un petit coup de propre
|
||||||
|
---
|
||||||
|
|
||||||
|
Après qu’un attaquant ait réussi à compromettre une machine, il cherche à s’y pérenniser.
|
||||||
|
|
||||||
|
Cet exercice consiste à débusquer les différents points de persistance mis en place afin que l’attaquant puisse avoir accès en toutes circonstances à cette machine.
|
||||||
|
|
||||||
|
{{% tag %}}Windows{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Système{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Persistance{{% /tag %}}
|
||||||
|
|
||||||
|
{{% tag %}}Moyen{{% /tag %}}
|
||||||
|
|
||||||
|
Contexte du défi
|
||||||
|
----------------
|
||||||
|
|
||||||
|
Vous venez d’être embauché dans la boîte de sécurité informatique très tendance : Hack’N’Snack.
|
||||||
|
Histoire de tester vos connaissances système (parce que vous avez dit être « le boss » sur le sujet), on vous demande de retrouver le logiciel malveillant caché sur un PC sous Windows et de le nettoyer.
|
||||||
|
|
||||||
|
Vous êtes motivé pour faire vos preuves. Alors attention aux yeux !
|
||||||
|
|
||||||
|
Infrastructure à mettre en place
|
||||||
|
--------------------------------
|
||||||
|
|
||||||
|
Seront nécessaires dans l'infrastructure :
|
||||||
|
- 1 client/VM (Windows 11)
|
||||||
|
|
||||||
|
Pas-à-pas
|
||||||
|
---------
|
||||||
|
|
||||||
|
Etudier les différentes méthodes de persistance existantes
|
||||||
|
|
||||||
|
En imaginer quelques unes
|
||||||
|
|
||||||
|
Traces à enregistrer
|
||||||
|
--------------------
|
||||||
|
|
||||||
|
Fichiers à fournir :
|
||||||
|
- un dump de RAM du PC
|
||||||
|
- un dump de disque du PC
|
||||||
|
|
||||||
|
Questions à poser :
|
||||||
|
- Nom du programme malveillant (on le trouve dans le dump de RAM)
|
||||||
|
- Condensat de l’exécutable récupéré
|
||||||
|
- Liste justifiée des éléments de persistances mis en place
|
||||||
|
|
||||||
|
Liens
|
||||||
|
-----
|
||||||
|
|
||||||
|
* Practical Malware Analysis, édition NoStarchPress
|
Loading…
x
Reference in New Issue
Block a user