- Auteur : Vahlkar
- Type : Forensic
Highway to jail - part. 1
Ce challenge est une sous partie du challenge misc-toffanvahlkar-highwaytojail-1. Le dépot permet de générer un cryptolocker (malware qui chiffre les données de l'utilisateur en échange d'une rançon). Le but du challenge est d'effectuer une analyse forensique de la machine infectée afin de retrouver la clé utilisée pour chiffre les données et donc les déchiffrer.
Voir misc-toffanvahlkar-highwaytojail-1.
ATTENTION : le binaire cryptolock est destiné à chiffrer le home de l'utilisateur avec une clé générée aléatoirement, ne le lancez pas en dehors d'une VM dédiée.
export/cryptolock: programme malveillant utilisé dans misc-toffanvahlkar-highwaytojail-1, ne pas le mettre directement à disposition des participants.
Le programme malveillant est conçu pour ne se lancer que dans certaines
conditions sur la VM. La clé utilisée pour chiffrer les données est envoyée
une fois lors d'une connexion à la VM sur le port 54321 (partie gérée par
misc-toffanvahlkar-highwaytojail-1). La clé n'est bien évidemment pas à fournir
aux participants (le but du challenge étant de la retrouver) mais celle-ci peut
servir à des fins de debug / test du challenge.
Le flag est défini dans le dépot misc-toffanvahlkar-highwaytojail-1, ce dépot n'en étant qu'une sous partie. Pour plus d'informations voir misc-toffanvahlkar-highwaytojail-1.
Dépendances du projet : docker, qemu-img, qemu-system-x86_64.
make export pour compiler le binaire. Celui-ci est utilisé par
misc-toffanvahlkar-highwaytojail-1.
make clean: supprime les fichiers fournis (dossierexport).make clean-all: supprime l'image (servant à la comilation du programme malveillant).
| Relecture | Construction | Test | Déploiement |
|---|---|---|---|
| toffan() | toffan() | toffan() | |
| Vahlkar(version 46e539f) | Vahlkar() | Vahlkar () | |
Des scripts de solution semi-automatiques sont disponibles dans les dossiers
solution de chaque dépot.