help/content/exercices/Qui a peur des piqûres ?.md
Pierre-Olivier Mercier 7c51d45a82
Some checks failed
continuous-integration/drone/push Build is failing
Add exercices samples
2023-04-12 12:49:33 +02:00

2.5 KiB
Raw Blame History

date title
2023-04-10T23:00:00+01:00 Qui a peur des piqûres ?

Les injections dans des processus, que ce soit sur un système Windows, Linux ou Mac, sont des sujets très peu vus à lécole. Quoi de mieux pour découvrir cette thématique que de réaliser un exercice à ce sujet ?

Cet exercice consiste à découvrir linjection appelée « Process Hollowing », sous Windows, ainsi quà découvrir le format PE.

{{% tag %}}Windows{{% /tag %}} {{% tag %}}Système{{% /tag %}} {{% tag %}}PE{{% /tag %}} {{% tag %}}Injection{{% /tag %}} {{% tag %}}Moyen{{% /tag %}}

Contexte du défi

Anne ONyme est infirmière dans un hôpital de province. Depuis quelques années, elle sest prise de passion pour linformatique et sy exerce dans son temps libre. Elle sest essayée à divers domaines et a même récemment mis en place un serveur chez elle !

Cependant, depuis quelques jours, son serveur semble ramer. Anne se souvient que peu de temps avant, elle a installé un programme envoyé par un collègue. Se pourrait-il que cet exécutable eut été malveillant ?

Forte de ses compétences acquises au fil des ans, Anne débute son investigation.

Infrastructure à mettre en place

Seront nécessaires dans l'infrastructure : 1 serveur/VM (Windows Server)

Pas-à-pas

Lexécutable fourni par le collègue dAnne était en fait un logiciel malveillant (cryptominer, …) !

En effet, une fois exécuté, celui-ci sinjecte dans un processus Windows à laide du Process Hollowing, rajoute quelques points de persistance et supprime ensuite le fichier dorigine.

En tant que joueur, les étapes de résolution sont les suivantes :

  • Déterminer le processus malveillant dans le dump de RAM
  • Examiner la mémoire de ce processus et en récupérer le PE du binaire
  • Analyser le binaire récupéré pour répondre aux questions

Traces à enregistrer

Fichiers à fournir :

  • un dump de RAM du serveur dAnne

Questions à poser :

  • Nom du programme malveillant (on le trouve dans le dump de RAM)
  • Nom du processus « malveillant » (car sans linjection il nest pas malveillant)
  • Condensat de lexécutable récupéré

Liste des fonctionnalités du binaire : - quelques éléments de persistances, but du binaire (cryptominer ou autre), auto-suppression, …

Ressources

La documentation Microsoft sur les PE

Process Hollowing