Forensic

Bonjour,
Je grep, sort, cut dans tous les sens, mais je n’avance pas :(
Un hint peut être ?

Euh les ressources associées ? :p

Euh les ressources associées ?

Il est ou le bouton Like sur ce forum ?! :p
_
_
Sinon je voudrais bien une petite piste, j’ai reduis la liste considrablement (en me basant sur comment un C&C fonctionne, sans vouloir trop spoiler) mais il reste toujours enormement de possibilites.

ok je re-RTFM
merci quand même

Simple curiosité : s’agit il d’un C&C connu ? j’entends par là identifiable via cleanmx, virus total ou autre ...

Le ’But’ du Chall est d’utiliser PDNS. Dans l’absolu, le ’méchant’ a sévit en 2011.
Les autres tools sont donc tous potentiellement inutiles.

Merci de l’information. Je partais dans la mauvaise direction, donc.

J’aurai une question : comment utiliser le PDNS ? (y aurai-t-il un accès public ? comme le whois et CentralOps) car je bloque sur celui-là. Merci

Meyo,
Il y a un accès possible via plusieurs bases, mais il y a aussi plusieurs versions de pdns. Au début j’avais installé la version pdns complète, mais finalement il y a plus simple. Dans le raisonnement tu es sur le bon chemin.
🙂

Bonjour,
Merci pour votre réponse. Pourriez vous m’envoyer un lien en PM ? Je suis un peu à la dérive.

Salut à tous...

J’ai trouvé un C&C (d’un RAT plutôt connu) dans les logs.
4 IP différentes de la société s’y sont connectées, et pas moyen de la valider... ça fait des jours qu’elle me hante cette épreuve...

Un petit hint serait bienvenu... (en privé ?)

Thx

salut julesi,

Tu n’es pas le seul a qui cette épreuve a refilé des cauchemars 🙁
Contacte moi en pm si tu veux bien.

Salut notdef,

Merci, je fais ça de suite, car là, je suis en train de faire des millions de requêtes :D

Salut,

Juste une info qui ne sera pas un scoop car c’est la règle sur root-me : il n’y a rien à brute-forcer.
Le seul truc qui doit mouliner ce n’est pas script qui va requêter les DNS mais le cerveau :).

Sympa ce chall tout en cas, super idée pour faire découvrir ... le PDNS. Bravo !

Phil

Basé sur ce qui est indiqué ici, j’ai trouvé un résultat qui me semble cohérent (date, logs, etc...), mais pas moyen de valider.

Quelqu’un est dispo (en MP) pour que je lui présente ce que j’ai fait ?

Merci

EDIT : Oubliez ce que je viens de dire, j’ai finalement réussi à valider, merci pour ce challenge :)

Bonjour à tous,

La base PDNS de l’ISC ne semble pas être ouvert à tous le monde.
https://sie.isc.org/ ne répond pas et il faut un token pour utiliser l’api https://api.dnsdb.info/

Pour valider ce challenge, faut-il utiliser cette base DNS ?

Merci.

Salut Nawhack,

Pas forcément "cette base DNS".

Bon, a mon tours de demander de l’aide :
Je pense avoir trouve le site en question est l’IP interne qui s’y connecte. Mais il y a pas moyen de retrouver l’IP du site.
Le site a bien ete registre pendant la periode en question du log, mais soit ils demandent de l’argent (domaintools, isc, etc), soit il n’y a pas d’IP donnee (who.is et tout les autres).

Quelqu’un peut me donner un indice ou chercher pour retrouver l’IP d’un site qui n’est plus en ligne ?

merci !
myrti

Salut myrti, viens en pm.

Salut à tous,
je peine aussi sur cette épreuve...
j’ai bien trouvé 3 @ enregistrées sur une période correspondante (gspr ne pas trop spoiler... ^^)
mais ensuite j’ai une dizaine de réponse a tester pour les 2 premières @ enregistrées, mais la dernière donne lieu a plus de 13000 ligne !! et la je ne vois plus comment affiner...

HELP !

Bonjour a tous,

Une petite questions me turlupine, l’épreuve est-elle encore faisable ?

Je me pose la question parce que les différentes bases de données PassiveDNS que j’ai testé sont down, page inaccessible (par exemple sie.isc) ou service qui ne réponds pas (DNSDB malgré trois demandes sans réponses).

Ou alors je m’y prends super mal, mais je ne suis pas sur de comprendre dans quelle direction aller.

Merci de votre aide.

major_djuj, pour ma part le passive dns ne répond pas... faudrais que d’autres donnent leur avis là dessus...

Merci Maximilian,

Je sais que c’est un vieux challenge, et que c’est pas nécessairement la priorité, mais est-ce que c’est un comportement normal ? Je remarque que la dernière validation de ce chall date du 18/08/2014. Alors avait-il la réponse, ou bien, l’a t’il trouvé ?

Merci.

Au final, le chall semble avoir brusquement arrêté de recevoir de nouvelles validations depuis mi-août... Confirmé infaisable ?

Bonjour Supercactus,

Alors avec les infos que j’ai il est effectivement difficilement faisable au jour d’aujourd’hui, la plupart des services gratuits et ouverts ayant disparus ou étant passés en accès restreint. Le seul que je connaisse encore en ligne ne permet pas de retrouver les infos utiles, sauf peut-être à multiplier les requêtes et tenter d’en extraire quelque chose (je n’ai pas exploré cette voie).

Ce qui est encourageant, c’est qu’un challenger l’a validé hier. :D

Bon courage et si tu as des infos je suis preneur, ne l’ayant pas encore validé 😉

Pareil pour moi, je ne l’ai pas encore validé, et je suis preneur d’informations me permettant de revenir sur la piste de cette machine qui a contactée un C&C.

Un indice sur la base a contacter svp ?

Merci.

Salut,

Dans mes recherches, je n’ai trouvé qu’une seule base de données gratuite qui est BFK : http://www.bfk.de/bfk_dnslogger.html .
Elle est par contre très limitée en terme de données ...

Es-t’il possible de résoudre ce challenge avec celle-ci ?

Autrement, es-ce que c’est possible de résoudre ce challenge avec les serveurs DNS classiques en mode bourrin (oui oui on veut de la finesse mais ... ;)) et environ 73 000 requêtes ?
Pour ma part ça a rien donné (et ça a pris environ 16h) pour ceux qui se posent la question.

Cheers,

m_101

Pareille pour moi pour le coup je ne trouve aucune base permettant la resolution :s

Bonjour,

Il y a effectivement un soucis avec cette épreuve pour le moment. Le créateur travaille sur une solution pour que ce challenge soit de nouveau resolvable.

Bonsoir,

Petit up pour savoir si le chall est de nouveau disponible à la résolution.