Description
Un agent du FCSC démarre son ordinateur pour réfléchir et noter des idées de challenges pour l’année prochaine. Il nous a cependant alerté que lors du démarrage, un étrange écran rouge est apparu à peine une seconde, puis le poste a démarré normalement.
Il a pu commencé son travail sans souci, mais afin de s’assurer que le problème ne vienne pas d’un potentiel malware, nous lui avons fait capturer la mémoire du poste avec l’outil DumpIt. Analysez la mémoire et retrouvez le malware qui tente d’exfiltrer le document :
- le processus exécutant le malware
- l’adresse et le port du serveur contrôlé par l’attaquant
Le flag est au format FCSC{<process_name>:<process_id>:<adresse_ip_distante>:<port_distant>:<protocole utilisé>} où :
<process_name>est le nom du processus exécutant le malware,<process_id>est le numéro du processus (PID) exécutant le malware,<adresse_ip_distante>est l’adresse IP du serveur controlé par l’attaquant,<port_distant>est le port utilisé sur le serveur controlé par l’attaquant et<protocole utilisé>est le protocole utilisé pour la communication avec le serveur de l’attaquant (TCPouUDP).
Par exemple : FCSC{malware.exe:512:51.255.68.182:21:UDP}.
Cette épreuve fait partie d’une série à faire dans l’ordre :
Fichiers
-
analyse-memoire.tar.xz
1.05 GiB – 59dbdb3d2e0eb219afc63fa086069b0e21cad79060ca3752b75e910058fce206
Auteur
Flag
Soumettez votre solution
Vous pouvez envoyer votre solution rédigée pour cette épreuve. La FAQ contient la marche à suivre.
Vous avez besoin d'être identifié(e) pour soumettre une solution.