Forensic

Bonjour à toute et tous,

je m’essaie à ce challenge depuis quelques jours, et je viens de ruiner tous mes espoirs en ne trouvant pas la configuration dans la base de registre d’un .exe qui aurait été lancé depuis une console. Sûrement que je fais fausse route, peut-être pourriez-vous m’aiguiller ?

Merci !
Sorcha

Bonsoir,
J’aurais bien voulu un petit indice concernant ce chall, car je pense vraiment être dans une impasse. Je ne vois plus trop ce que je peux essayer de plus.

Encore merci !

bonjour, je suis aussi à la peine dans ce challenge...

j’ai bien testé de chercher dans le buffer consoles, mais rien, j’ai aussi tenté les socket ou connexion etablit, mais rien non plus (enfin si beaucoup d’adresse IP, mais celle que j’ai ciblées ne correspondent pas...)

Merci de votre aide

Bonjour kaser_HH,
Tu devrais retester ;)

J’ai recherché dans le buffer du cmd, mais la seul chose que ca m’apprend, c’est le tcprelay.exe et le conhost.exe qu’il y a derrière... mais après ca, je sèche, je ne vois pas comment remonter à l’adresse IP.

Est ce que je pourrais avoir un petit coup de pouce ? Je sens que je suis pas loin !

Merci

En effet, tu n’es pas loin.
Regarde un peu plus les arguments possibles pour volatility et garde en tête les info que tu as du déjà collecter (via C&C 3)

Honnêtement je sèche complétement... J’ai bien le PID du du virus, ainsi que sa localisation...

Mais à partir de ca, pas moyen de trouver l’info... le netscan me donne une liste monstrueuse d’IP, et celle correspondant au PID en question ne valide pas l’épreuve !

Est ce qu’il faut le faire avec un volshell ? parce que là j’ai testé toute les commandes sur volatility et je vois pas comment je peux y avoir accès autrement... ^^

Salut kaser_HH,

Contacte moi en pm, parce que tu n’es pas loin de résoudre ce challenge et moi j’aimerais comprendre ce qui te bloque réelement sans que tu spoil dans le forum.

Le PM est envoyé !

Merci d’avance, en espérant que je n’ai pas trop spoil le challenge :-S

Merci

Epreuve validé !!! en effet, je n’étais pas loin du tout !! j’avais arrête ma démarche en cours de route

Hello !

J’ai passé pas mal de temps sur ce chall sans succès.
Je suis parti des résultats que j’avais obtenu du chall CnC 3 en me concentrant sur le PID incriminé.

Mon premier problème est : comment "adresse IP du serveur interne que ces cybercriminels visent" doit être compris ?
En faisant du reverse sur le binaire, j’ai trouvé un domain associé à un gethostbyname. Pour autant si je nslookup, je n’ai aucune correspondance avec l’historique des connexions du système.

Donc me voilà un peu perdu, si quelqu’un pouvait m’éclairer :D

Merci de votre aide !

Salut Anyfun,
Avec la doc associée, tu devrais trouver le nom d’une appli lancée en console. Cette appli reçoit des paramètres. Ou sont stockés ces parametres...
Avec un peu de chance, tu es en train de résoudre le C&C6 !!!

Bonsoir,

En ce qui me concerne, j’ai utilisé la même démarche qu’Anyfun, ce qui m’a permis de finir le challenge C&C 6. Par contre, je n’arrive pas à finir le 4... Pourtant, j’ai bien utilisé le plugin proposé par la doc mais il me sort vraiment n’importe quoi. J’ai même dumpé le process cible puis fait une recherche d’adresse IP (en jouant avec les pointeurs de pointeurs de ... trouvés pendant le reverse) mais rien de concluant. J’ai pourtant trouvé une adresse IP que je peux trouver grâce à une commande Volatility, mais elle ne valide pas.

Si jamais quelqu’un peut m’indiquer où je fais une erreur... Je peux expliquer toute ma démarche par MP.

Merci d’avance !

EDIT : épreuve finie. J’avais mal lu l’énoncé...

Hello,

Un peu d’aide serait la bien venue, je tourne en rond depuis des heures :S.
Je ne veux pas spoil donc si quelqu’un peut m’aider par MP.

Merci d’avance !

Salut Epicpp

Envoi ton mp. Je verrai ce que je peux faire pour t’aider.

@sambecks : mp envoyé :) merci d’avance pour ton aide.

Bonjour,
ca commence à faire un p’ti moment que je tourne en rond pour ce challenge :/ . Je sens que je ne suis pas loin de la reponse en plus :( . Ni les establish connect, ni l’historique cmd ne me donne le flag. Est ce que la commande affichant des info contenant tcpr... whoa... et cmd.e... est sensée donnée la réponse ?

Un petit coup de pouce m’aiderais vraiment.

Bonjour à tous.

Si une âme charitable peut ouvrir les yeux à l’aveugle que je suis, j’en serais reconnaissant :)

Je pense être passé plusieurs fois devant la solution mais je n’arrive pas à la voir, du coup, je tourne en rond :(

Merci d’avance pour le coup pouce :)

Validé !

J’ai mis des lunettes :p

Bonjour à tous,
Après avoir cherché depuis maintenant plusieurs heures je commence à desesperer.
J’ai résolu le C&C niv 3 assez facilement et j’ai toruvé également l’historique des lignes de commandes (et donc tout ce qui tourne en tache de fond). J’ai pour l’instant 3 PID sur lesquels j’essaye d’avoir plus d’info mais je pense avoir épuiser l’ensemble des commandes de volatility.
J’ai l’ip d’exfiltration, tous les fichiers liés au malware, j’ai même scruté certains executables avec un éditeur hexa, mais rien n’y fait, je ne vois aucune trace d’IP....
Est-ce qu’une ame charitable pourrait m’aiguille en MP afin de rien spoiler et de savoir si je fais bonne route ?

Merci d’avance

Bonjour à tous,

Voila, comme kaser_HH j’ai trouvé (il me semble) le binaire utilisé pour faire l’opération. Cependant, quand je vais sur le site officiel pour obtenir l’endroit ou est écrit la configuration, je ne le retrouve pas dans le dump-mémoire. Est-ce quelqu’un pourrait me valider ma piste par MP car pas possible de le mettre sans vraiment spoil le challenge dans le forum ?

Bonsoir !, qqn me peut aider, je pense que j’ai le segment de memory ou le command est appelé, mais je sais pas comme interpréter les valeurs en hexa pour former un IP. merci !

Bonjour à tous,
Voila, comme kaser_HH :Honnêtement je sèche complétement... J’ai bien le PID du du virus, ainsi que sa localisation...

Mais à partir de ca, pas moyen de trouver l’info... le netscan me donne une liste monstrueuse d’IP, et celle correspondant au PID en question ne valide pas l’épreuve !

Bonjour,

En faite j’ai pas compris l’énoncé, que doit-on chercher exactement ? le resultat du script qui se lance dans cmd.exe ou l’adresse à laquel est renvoyé l’utilisateur quand IE se lance ?

dans le cas ou l’on devrait examiné ce qui se passe dans le cmd.exe, comment le faire ?

Merci pour votre précision

Bonjour,

Comme beaucoup je tourne en rond et je sèche. J’ai bien identifié le PID. Netscan me donne toutes les adresses mais je n’en tire rien. Puis j’ai vu derrière les exe lancés (tcprelay et connhost) en regardant le buffer de cmd.

Je suis preneur d’un petit coup de pouce... Merci :)

Bonsoir,

Je bloque toujours. J’ai trouvé une piste de solution : un des programmes en tâche de fond (appelés dans l’instance de cmd.exe) stocke les informations dans le registre (http://www.xtware.com/tcprelay/userguide.htm). Est-ce la bonne piste ? Car je n’arrive pas à mettre la main sur cette clé.

Où alors je fais fausse piste ? Quelqu’un peut-il m’aiguiller ?

Merci.

PS : ne pas hésiter à me dire si ce message en dit trop ^^

Bonsoir,

Je bloque toujours ; j’ai cette fois essayé de retrouver une clé qui contiendrait les deux informations requises (inscrites par t****lay.exe) mais je ne la trouve pas dans le registre.
Je pars sur la mauvaise voie ?

Quelqu’un peut-il me donner un coup de pouce ?

Merci.