Challenge 2018

Présentation

From: marc.hassin@isofax.fr
To: j.raff@goeland-securite.fr

Bonjour,

Nous avons récemment découvert une activité suspecte sur notre réseau. Heureusement pour nous, notre fine équipe responsable de la sécurité a rapidement mis fin à la menace en éteignant immédiatement la machine. La menace a disparu suite à cela, et une activité normale a pu être reprise sur la machine infectée.

Malheureusement, nous avons été contraints par l'ANSSI d'enquêter sur cette intrusion inopinée. Après analyse de la machine, il semblerait que l'outil malveillant ne soit plus récupérable sur le disque. Toutefois, il a été possible d'isoler les traces réseau correspondantes à l'intrusion ainsi qu'à l'activité détectée.

Nous suspectons cette attaque d'être l'œuvre de l'Inadequation Group, ainsi nommé du fait de ses optimisations d'algorithmes cryptographiques totalement inadéquates.
Nous pensons donc qu'il est possible d'extraire la charge utile malveillante depuis la trace réseau afin d'effectuer un « hack-back » pour leur faire comprendre que ce n'était vraiment pas gentil de nous attaquer.

Votre mission, si vous l'acceptez, consiste donc à identifier le serveur hôte utilisé pour l'attaque et de vous y introduire afin d'y récupérer, probablement, une adresse e-mail, pour qu'on puisse les contacter et leur dire de ne plus recommencer.

Merci de votre diligence,

Marc Hassin,
Cyber Enquêteur
Isofax SAS

Le défi consiste à analyser la compromission d'une machine depuis une capture réseau. Les traces laissées par les attaquants permettent de remonter jusqu'à leur serveur. Une adresse e-mail ( ...@challenge.sstic.org ) a été laissée sur ce serveur. À vous de la récupérer.

Pour participer au concours, il faut, une fois cette adresse trouvée :

Le challenge est disponible ici : https://static.sstic.org/challenge2018/challenge_SSTIC_2018.pcapng.gz

SHA256 : 076097cbc5d3a3bc20bc8393a988e9a31f83f7a08c8814752bd215d21f7e2202  challenge_SSTIC_2018.pcapng.gz

L'équipe d'organisation tient à rappeler qu'aucun matériel spécifique n'est nécessaire à la résolution du challenge.

Lots

Comme les années précédentes, deux classements seront établis, selon :

Des flags de validation intermédiaires sont présents dans le challenge. Il n'est pas nécessaire de tous les retrouver pour obtenir l'adresse e-mail de validation finale. Le classement rapidité ne tient pas compte des validations intermédiaires. En revanche, le classement qualité prendra en compte ces flags de validation, ainsi que l'élégance des solutions proposées.

Ainsi, même sans être dans les plus rapides, il est possible de gagner un lot en rédigeant une réponse claire, complète et détaillée. Les lots seront remis lors de la conférence, ou dès que possible en cas de problème d'approvisionnement. Les lots à gagner pour les trois premiers de chaque classement sont :

De plus, des places pour la conférence seront offertes aux premières places des classements rapidité et qualité. Les 2e et 3e places du classement rapidité auront droit à une place réservée.

Pour des raisons évidentes de calendrier, la place offerte au premier du classement qualité se fera sous forme d'un remboursement d'une place déjà acquise.

Les 10 premiers au classement rapidité remporteront des T-shirts Challenge SSTIC avec une phrase du style « Ça ne se voit peut-être pas, mais j'ai résolu le challenge SSTIC ! » :)

De plus, le gagnant du classement qualité présentera sa solution lors de la conférence.

Classements

Classement Rapidité

Classement Qualité

Validations intermédiaires

Des flags sont disséminés dans les différentes étapes du challenge. Ils permettent, si vous le souhaitez, d'informer les organisateurs du challenge de votre progression. Les flags doivent être envoyés à l'adresse challenge2018@sstic.org pour apparaître dans le classement intermédiaire.

Tous les flags ont le même format : SSTIC2018{...}. Si vous pensez avoir trouvé un flag mais qu'il n'a pas ce format, c'est que ce n'en est pas un :)

Anomaly Detection

Disruptive JavaScript

Battle-tested Encryption

Nation-state Level Botnet

Aucune attaque par bruteforce n'est nécessaire pour résoudre cette épreuve.

Règlement

  1. Le concours est ouvert à tous, à l'exception des membres des comités d'organisation et de programme de SSTIC 2018, ainsi que le personnel des équipes des créateurs du challenge :
    • Synacktiv
    • Quarkslab
    • Oppida
  2. Pour gagner, les participants doivent trouver une adresse ( ...@challenge.sstic.org ) et envoyer un courrier électronique à cette adresse, puis envoyer une solution dans les quinze jours.

  3. Cette réponse devra être rédigée en français et aussi détaillée que possible. Elle précisera les problématiques techniques du défi ainsi que la démarche et les outils utilisés pour les résoudre.
  4. Les réponses seront évaluées par un jury constitué des concepteurs du challenge et du comité d'organisation du SSTIC.
  5. La date de clôture du concours est le dimanche 3 juin.
  6. Un même participant peut gagner plusieurs lots, un par classement.
  7. Les participations sont individuelles, le concours n'est pas ouvert aux équipes. Néanmoins, l'appel à un ami est autorisé.
  8. En prenant part au concours, les participants donnent tacitement leur accord pour la publication de leur réponse sur le site du SSTIC, associée à leur nom ou pseudonyme.
  9. Pour la remise des lots, les gagnants devront fournir leur identité à l'association SSTIC.
  10. Si le nombre de réponses valides est inférieur à trois, le concours pourra être prolongé.

Contact

Pour toute question, merci de contacter challenge2018@sstic.org.

Root

ChallengeSSTIC2018 (last edited 2018-06-18 11:33:05 by ClementBerthaux)