CTF Noël — IZoo

Challenge forensic du CTF Noël 2023 — analyse d’un ISO Linux backdooré distribué par une entreprise fictive.

Contexte

Le challenge izoo - Step 1 (créé par Itarow) met en scène la société 26OOCorp qui distribue un ISO Linux compromis affectant étudiants et enseignants. L’objectif : identifier l’origine du backdoor en trouvant trois composants.

Cibles :

• Le domaine C2
• Le nom du malware de stage 2
• Le chemin du fichier compromis

Méthodologie

Outil clé : PSPY

PSPY permet de lister les processus sans privilèges root — idéal pour surveiller les exécutions en arrière-plan.

1. Lancer l’ISO avec monitoring réseau (Wireshark)
2. Identifier une exécution suspecte révélant le domaine C2 et le fichier de stage 2
3. Localiser le backdoor dans les fichiers d’initialisation du shell
4. Trouver le code malveillant dans /etc/bash.bashrc

Flag

ESNA{f915-2001-861-3fca-4390-ef67-15c4-236f-b490.ngrok-free.app:s.py:/etc/bash.bashrc}