Description
Suite à l’intrusion repérée précédemment, la société Antarctic Vault a lancé une procédure de nettoyage des traces de l’attaquant.
Nous soupçonnons que cela n’ait pas été suffisant et que l’attaquant se soit énervé. En effet, nous avons perdu l’accès au nœud. Malheureusement, nous n’avons aucune équipe sur place (contrairement à l’attaquant) et le prochain bateau mettra 2 mois avant d’arriver à bon port. Nous avons absolument besoin de reprendre la main sur ce coffre-fort.
Lors de l’attaque précédente, nous avions réalisé un archivage du système de fichiers expurgé des données sensibles (logs, secrets, etc.). De plus, en regardant les traces réseau données par notre point d’accès Wi-Fi, nous avons remarqué des trames inhabituelles. Nous pensons que l’image mémoire de la première partie, l’extrait du système de fichiers ainsi que cette capture vous permettront de nous redonner le contrôle sur notre équipement et ce sans avoir à se déplacer.
On compte sur vous !
Notes :
- Un généreux bienfaiteur anonyme vous fait don d’un profil pour Volatility2. Le patch appliqué au générateur de profil est fourni avec. Il a été adapté pour correspondre à la version de Linux en usage.
- Volatility2 n’étant pas adapté aux noyaux Linux les plus récents, des modifications sur celui-ci seront à appliquer.
Cette épreuve a été découpée en deux parties :
Fichiers
-
out.lime.xz
36.71 MiB – 70c4afc26a1f18ee89132b7c16ff9203a5c82e36a02c21844fe661e83a10283b -
capture2.pcap
848 B – bbf3afc9a1db9d9fb464aa0192f469d97ea4bd09d8e414c8ad249d587fe12ca8 -
out.tar.xz
252.06 MiB – 753b6d772983944715abd3d7b24ae5483e2b1e2fe4f4fdd034827868fce1ff3e -
RPiOSFCSC2022.zip
959.89 KiB – f259eeae0c298ed073dbacc8ce03e8ddcc99444fea349ea0f135204fee208092 -
volatility2.patch
6.51 KiB – b4bdf41d91a7effd4354c2a9ed932af16375c6539c97cf5aa59d457b99ec04cc
Auteur
Flag
Soumettez votre solution
Vous pouvez envoyer votre solution rédigée pour cette épreuve. La FAQ contient la marche à suivre.
Vous avez besoin d'être identifié(e) pour soumettre une solution.