Differences

This shows you the differences between two versions of the page.

--- challenges:anssi-ecsc-2019:forensics:exfiltration [2020/12/15 21:07] – created didzkovitchz
+++ challenges:anssi-ecsc-2019:forensics:exfiltration [2020/12/15 21:07] (current) – didzkovitchz
@@ Line 1: / Line 1: @@
-====== ANSSI ECSC ~~ Challenges forensics ~~ 3615 Incident (1) ======
+====== ANSSI ECSC ~~ Challenges forensics ~~ Exfiltration ======
 [[anssi-ecsc|Retour]]
@@ Line 7: / Line 7: @@
 <code>
-Une victime de plus tombée sous le coup d’un rançongiciel. Le paiement de la rançon n’est pas envisagée vu le montant demandé. Vous êtes appelé pour essayer de restaurer les fichiers chiffrés.
+Notre SoC a détecté qu'un document confidentiel avait été exfiltré !
+La méthode utilisée ne semble pas avancée et heureusement,
+une capture réseau a pu être faite au bon moment...
+Retrouvez ce document.
-Une suite d’éléments est nécessaire pour avancer dans l’investigation et constituer le rapport d’incident.
+$ sha256sum exfiltration.pcap
+0382811b48cd9498ad91a4f7268a4e6225b5934af55856fac46229e0ef6ce64e
-Pour commencer, quel est le nom du fichier exécutable de ce rançongiciel, son identifiant de processus et quel est devenu le nom du fichier flag.docx une fois chiffré ? Donnez le SHA1 de ce nom avec son extension.
+exfiltration.pcap
-Note : l’image disque fait environ 440 Mo compressée et environ 1.4 Go décompressée. Réponse attendue au format ECSC{nom_du_rançongiciel.exe:0:sha1}.
-$ sha256sum mem.dmp ce117720fa4126f57814b3a779a7eb4ba21570e3f5dfd44a6706771783a46f1b mem.dmp
 </code>
 fichier :
-  * ''mem.dmp''
+  * ''exfiltration.pcap''
 ===== 1 - aaa =====