help/content/exercices/Trampoline.md
Pierre-Olivier Mercier 778e9b79ec
All checks were successful
continuous-integration/drone/push Build is passing
Orthograf & fixes
2023-04-12 13:44:36 +02:00

1.6 KiB
Raw Blame History

date title
2023-03-24T13:34:21+01:00 Trampoline

Vous allez modifier un antivirus pour laisser passer votre propre cheval de Troie ! Cest le moment de bidouiller ClamAV.

Ou vous pouvez exploiter un antivirus, à vous de voir.

{{% tag %}}Antivirus{{% /tag %}}

Contexte du défi

Un PC est compromis par un ransomware. Pourtant, lantivirus est censé bloquer ce malware sorti il y a déjà quelques temps… Vous investiguez

Infrastructure à mettre en place

Libre. Quelques exemples :

  • Un routeur sous openBSD
  • Un serveur de mail
  • Un poste dun particulier

Pas-à-pas

Vous devez modifier un antivirus (opensource) ou compromettre un antivirus déjà en place.

Lantivirus modifié ou compromis laisse passer le malware.

Risques

Trouver une compromission dantivirus est plus difficile que de modifier un antivirus open source. Il faut aussi trouver la bonne version de lantivirus

Dans le cas dune modification dun antivirus, il faut lire un minimum de code pour comprendre vaguement son fonctionnement.

Traces à enregistrer

Fichiers à fournir :

  • Dump de RAM
  • Dump Filesystem
  • Logs système (dont antivirus)

Questions à poser :

  • Implementation de lantivrus
  • Pourquoi le malware est passé
  • Impact de lantivirus sur le système

Liens

[Clamav open-source](antivirus (https://docs.clamav.net/manual/Installing/Installing-from-source-Unix.html)

Windows CVE-2021-31985 (Si vous arrivez à le faire fonctionner…)