Differences between revisions 141 and 142
Revision 141 as of 2018-05-18 07:16:58
Size: 18944
Comment:
Revision 142 as of 2018-05-18 14:15:35
Size: 19001
Comment:
Deletions are marked like this. Additions are marked like this.
Line 231: Line 231:
 || 18 mai 2018 à 16h11 || Jean-Baptiste Thomas ||

Challenge 2018

Présentation

From: marc.hassin@isofax.fr
To: j.raff@goeland-securite.fr

Bonjour,

Nous avons récemment découvert une activité suspecte sur notre réseau. Heureusement pour nous, notre fine équipe responsable de la sécurité a rapidement mis fin à la menace en éteignant immédiatement la machine. La menace a disparu suite à cela, et une activité normale a pu être reprise sur la machine infectée.

Malheureusement, nous avons été contraints par l'ANSSI d'enquêter sur cette intrusion inopinée. Après analyse de la machine, il semblerait que l'outil malveillant ne soit plus récupérable sur le disque. Toutefois, il a été possible d'isoler les traces réseau correspondantes à l'intrusion ainsi qu'à l'activité détectée.

Nous suspectons cette attaque d'être l'œuvre de l'Inadequation Group, ainsi nommé du fait de ses optimisations d'algorithmes cryptographiques totalement inadéquates.
Nous pensons donc qu'il est possible d'extraire la charge utile malveillante depuis la trace réseau afin d'effectuer un « hack-back » pour leur faire comprendre que ce n'était vraiment pas gentil de nous attaquer.

Votre mission, si vous l'acceptez, consiste donc à identifier le serveur hôte utilisé pour l'attaque et de vous y introduire afin d'y récupérer, probablement, une adresse e-mail, pour qu'on puisse les contacter et leur dire de ne plus recommencer.

Merci de votre diligence,

Marc Hassin,
Cyber Enquêteur
Isofax SAS

Le défi consiste à analyser la compromission d'une machine depuis une capture réseau. Les traces laissées par les attaquants permettent de remonter jusqu'à leur serveur. Une adresse e-mail ( ...@challenge.sstic.org ) a été laissée sur ce serveur. À vous de la récupérer.

Pour participer au concours, il faut, une fois cette adresse trouvée :

  • envoyer aussitôt un courrier électronique à cette adresse (pour le classement rapidité);
  • PUIS envoyer dans les quinze jours (à partir de la date de réception du message précédent par le serveur mail du SSTIC) une réponse qui décrit la démarche suivie (pour le classement qualité).

Le challenge est disponible ici : https://static.sstic.org/challenge2018/challenge_SSTIC_2018.pcapng.gz

SHA256 : 076097cbc5d3a3bc20bc8393a988e9a31f83f7a08c8814752bd215d21f7e2202  challenge_SSTIC_2018.pcapng.gz

L'équipe d'organisation tient à rappeler qu'aucun matériel spécifique n'est nécessaire à la résolution du challenge.

Lots

Comme les années précédentes, deux classements seront établis, selon :

  • la rapidité de résolution;
  • la qualité de la réponse.

Des flags de validation intermédiaires sont présents dans le challenge. Il n'est pas nécessaire de tous les retrouver pour obtenir l'adresse e-mail de validation finale. Le classement rapidité ne tient pas compte des validations intermédiaires. En revanche, le classement qualité prendra en compte ces flags de validation, ainsi que l'élégance des solutions proposées.

Ainsi, même sans être dans les plus rapides, il est possible de gagner un lot en rédigeant une réponse claire, complète et détaillée. Les lots seront remis lors de la conférence, ou dès que possible en cas de problème d'approvisionnement. Les lots à gagner pour les trois premiers de chaque classement sont :

  • 1er prix : Un Elechouse PROXMARK 3 Dev Kit 2
  • 2eme prix : Un Kit PandwaRF + Antenne
  • 3eme prix : Un Shikra

De plus, des places pour la conférence seront offertes aux premières places des classements rapidité et qualité. Les 2e et 3e places du classement rapidité auront droit à une place réservée.

Pour des raisons évidentes de calendrier, la place offerte au premier du classement qualité se fera sous forme d'un remboursement d'une place déjà acquise.

Les 10 premiers au classement rapidité remporteront des T-shirts Challenge SSTIC avec une phrase du style « Ça ne se voit peut-être pas, mais j'ai résolu le challenge SSTIC ! » :)

De plus, le gagnant du classement qualité présentera sa solution lors de la conférence.

Classements

Classement Rapidité

  • Position

    Date de validation

    Nom

    Date de la solution

    Solution

    1.

    05 avril 2018 à 21h49

    David Bérard

    20 avril 2018 à 17h44

    2.

    06 avril 2018 à 04h27

    Nicolas Iooss

    21 avril 2018 à 00h10

    3.

    06 avril 2018 à 06h15

    Vincent Fargues

    20 avril 2018 à 17h12

    4.

    08 avril 2018 à 23h39

    Brice Berna

    25 avril 2018 à 09h35

    5.

    09 avril 2018 à 22h53

    Nicolas Surbayrole

    23 avril 2018 à 23h52

    6.

    16 avril 2018 à 20h21

    Norbert Muda

    30 avril 2018 à 18h23

    7.

    17 avril 2018 à 00h50

    Emilien Girault

    27 avril 2018 à 11h00

    8.

    19 avril 2018 à 15h04

    Martin Balc'h

    07 mai 2018 à 14h43

    9.

    19 avril 2018 à 17h04

    Jeremy Buet

    07 mai 2018 à 04h12

    10.

    27 avril 2018 à 14h11

    Jean-Bernard Beuque

    11 mai 2018 à 19h41

    11.

    01 mai 2018 à 18h25

    Pierre Bienaimé

    16 mai 2018 à 16h40

    12.

    14 mai 2018 à 20h29

    Frisk0

Classement Qualité

  • Position

    Nom

    Solution

Validations intermédiaires

Des flags sont disséminés dans les différentes étapes du challenge. Ils permettent, si vous le souhaitez, d'informer les organisateurs du challenge de votre progression. Les flags doivent être envoyés à l'adresse challenge2018@sstic.org pour apparaître dans le classement intermédiaire.

Tous les flags ont le même format : SSTIC2018{...}. Si vous pensez avoir trouvé un flag mais qu'il n'a pas ce format, c'est que ce n'en est pas un :)

Anomaly Detection

  • Date de validation

    Nom

    Date de validation

    Nom

    31 mars 2018 à 19h21

    Brice Berna

    06 avril 2018 à 10h17

    Jean-Baptiste Thomas

    31 mars 2018 à 19h55

    Thomas Bailleux

    06 avril 2018 à 11h02

    Stéphane Jin

    31 mars 2018 à 21h33

    David Bérard

    06 avril 2018 à 11h36

    Paul Daher

    31 mars 2018 à 23h22

    Vincent Fargues

    06 avril 2018 à 17h51

    PAF

    31 mars 2018 à 23h46

    Pierre Bienaimé

    06 avril 2018 à 21h18

    Jean-Bernard Beuque

    31 mars 2018 à 23h56

    Martin Balc'h

    06 avril 2018 à 21h24

    Simon Maréchal

    01 avril 2018 à 08h16

    kerial

    07 avril 2018 à 00h07

    Maxime Roy

    01 avril 2018 à 13h34

    Théo Letailleur

    07 avril 2018 à 14h30

    Maxime Lassus-Pomes

    01 avril 2018 à 14h31

    1orenz0

    07 avril 2018 à 14h58

    Axel Tillequin

    01 avril 2018 à 14h57

    Émilien Girault

    07 avril 2018 à 16h54

    François Laplaud

    01 avril 2018 à 15h55

    Laurent Laubin

    07 avril 2018 à 20h53

    Delphine Thibaut

    01 avril 2018 à 16h25

    Nicolas Surbayrole

    07 avril 2018 à 22h27

    Ayman Khamouma

    01 avril 2018 à 17h40

    François Pollet

    07 avril 2018 à 23h39

    Rado

    01 avril 2018 à 17h56

    n0ctx

    08 avril 2018 à 00h32

    Bertrand Danos

    01 avril 2018 à 18h26

    Gwendal Stevanazzi

    08 avril 2018 à 01h21

    Cyril Leclerc

    01 avril 2018 à 20h00

    Jean-Côme Estienney

    08 avril 2018 à 15h16

    Martin Meyer

    01 avril 2018 à 23h42

    Nicolas Iooss

    08 avril 2018 à 22h13

    Maxime Meignan

    02 avril 2018 à 00h13

    Mahdi Braik

    09 avril 2018 à 01h38

    Mona Arouane

    02 avril 2018 à 00h57

    Florent Vuillemin

    09 avril 2018 à 09h17

    peio

    02 avril 2018 à 01h22

    François Manach

    09 avril 2018 à 10h05

    Quentin Barbe

    02 avril 2018 à 02h52

    Philippe-Anselme Foury

    09 avril 2018 à 13h08

    Christophe Darblay

    02 avril 2018 à 13h38

    Erwan Loaec

    09 avril 2018 à 16h06

    Julien Eyriès

    02 avril 2018 à 14h15

    rico

    10 avril 2018 à 01h35

    Pierre Zurek

    02 avril 2018 à 16h23

    Antide Petit

    10 avril 2018 à 23h44

    Anthony Rullier

    02 avril 2018 à 19h12

    Antoine Breton

    11 avril 2018 à 09h42

    Samuele De Francesco

    03 avril 2018 à 05h11

    phLaul

    11 avril 2018 à 14h42

    ice_masters

    03 avril 2018 à 05h27

    Peter Garba

    12 avril 2018 à 00h14

    Benjamin Piot

    03 avril 2018 à 11h14

    SIben

    17 avril 2018 à 12h34

    Vincent Carruba

    03 avril 2018 à 11h21

    Roman Rohleder

    17 avril 2018 à 12h48

    Julien Lancia

    03 avril 2018 à 13h45

    Vincent Dagonneau

    19 avril 2018 à 17h04

    Jeremy Buet

    03 avril 2018 à 20h01

    Marin M.

    21 avril 2018 à 00h40

    Yanni Szijj

    03 avril 2018 à 20h08

    Teddy Michel

    22 avril 2018 à 13h35

    Adriaan D.

    03 avril 2018 à 20h43

    Pascal Haupet

    22 avril 2018 à 17h22

    benjaminr

    03 avril 2018 à 20h51

    notfound404

    25 avril 2018 à 19h13

    Manu D.

    03 avril 2018 à 22h09

    Aurélien Deharbe

    29 avril 2018 à 21h37

    jj

    04 avril 2018 à 06h42

    birdynam

    02 mai 2018 à 09h54

    0xMitsurugi

    04 avril 2018 à 12h08

    Jean-Baptiste Cayrou

    06 mai 2018 à 17h22

    Frédérique Dauvillaire

    04 avril 2018 à 15h40

    Mathieu Rousse

    18 mai 2018 à 00h03

    Luc Anzad

    05 avril 2018 à 11h19

    Simon Peraudeau

    05 avril 2018 à 13h54

    Loïc Minier

    05 avril 2018 à 15h50

    Tristan Pourcelot

    05 avril 2018 à 15h54

    Shengru Zhang

    05 avril 2018 à 17h08

    Frisk0

    06 avril 2018 à 00h09

    Damien Cauquil

    06 avril 2018 à 00h23

    Timothée Cocault

Disruptive JavaScript

  • Date de validation

    Nom

    01 avril 2018 à 14h31

    1orenz0

    01 avril 2018 à 21h23

    Brice Berna

    02 avril 2018 à 08h06

    Nicolas Iooss

    02 avril 2018 à 10h19

    David Bérard

    02 avril 2018 à 13h39

    Vincent Fargues

    02 avril 2018 à 22h53

    Laurent Laubin

    03 avril 2018 à 23h42

    Émilien Girault

    04 avril 2018 à 00h02

    Frédéric Perriot

    04 avril 2018 à 11h56

    Norbert Muda

    04 avril 2018 à 12h52

    Nicolas Surbayrole

    04 avril 2018 à 23h53

    Peter Garba

    05 avril 2018 à 10h45

    Aurelien Deharbe

    05 avril 2018 à 17h25

    Thomas Bailleux

    05 avril 2018 à 20h25

    Mahdi Braik

    06 avril 2018 à 00h15

    Marin M.

    06 avril 2018 à 00h23

    Timothée Cocault

    06 avril 2018 à 02h07

    Acfa Cbda

    06 avril 2018 à 13h33

    Frisk0

    06 avril 2018 à 21h18

    Jean-Bernard Beuque

    07 avril 2018 à 00h02

    Martin Balc'h

    07 avril 2018 à 01h03

    Jeremy Buet

    07 avril 2018 à 14h35

    Simon Maréchal

    08 avril 2018 à 21h57

    Axel Tillequin

    08 avril 2018 à 22h13

    Maxime Meignan

    09 avril 2018 à 01h38

    Mona Arouane

    09 avril 2018 à 22h28

    Pierre Bienaimé

    10 avril 2018 à 01h35

    Pierre Zurek

    11 avril 2018 à 09h42

    Samuele De Francesco

    11 avril 2018 à 18h44

    François Pollet

    12 avril 2018 à 12h03

    Damien Cauquil

    12 avril 2018 à 22h28

    Paul Daher

    13 avril 2018 à 09h35

    Paul Fariello

    13 avril 2018 à 10h17

    Jean-Baptiste Cayrou

    15 avril 2018 à 20h28

    birdynam

    15 avril 2018 à 22h16

    Tristan Pourcelot

    15 avril 2018 à 22h22

    Gwendal Stevanazzi

    16 avril 2018 à 13h31

    ice_masters

    16 avril 2018 à 21h39

    notfound404

    23 avril 2018 à 17h21

    kerial

    24 avril 2018 à 11h17

    Julien Lancia

    25 avril 2018 à 20h07

    Pascal Haupet

    27 avril 2018 à 11h06

    Stéphane Jin

    27 avril 2018 à 12h07

    Jean-Baptiste Thomas

    28 avril 2018 à 07h55

    Jean-Côme Estienney

    02 mai 2018 à 09h54

    0xMitsurugi

    05 mai 2018 à 12h18

    benjaminr

    09 mai 2018 à 18h07

    jj

    15 mai 2018 à 16h13

    Julien Eyriès

Battle-tested Encryption

  • Date de validation

    Nom

    02 avril 2018 à 14h13

    Nicolas Iooss

    02 avril 2018 à 21h53

    David Bérard

    03 avril 2018 à 08h27

    Vincent Fargues

    04 avril 2018 à 01h27

    Brice Berna

    05 avril 2018 à 01h42

    Norbert Muda

    06 avril 2018 à 23h01

    Nicolas Surbayrole

    07 avril 2018 à 12h52

    Marin M.

    08 avril 2018 à 11h09

    Jeremy Buet

    08 avril 2018 à 17h44

    Mahdi Braik

    08 avril 2018 à 22h13

    Maxime Meignan

    09 avril 2018 à 10h23

    Emilien Girault

    09 avril 2018 à 18h47

    Thomas Bailleux

    09 avril 2018 à 23h21

    Frédéric Perriot

    10 avril 2018 à 19h23

    Jean-Bernard Beuque

    10 avril 2018 à 23h27

    Martin Balc'h

    13 avril 2018 à 09h04

    Simon Marechal

    13 avril 2018 à 22h36

    Frisk0

    16 avril 2018 à 01h58

    Pierre Zurek

    16 avril 2018 à 21h31

    Aurélien Deharbe

    19 avril 2018 à 15h35

    Jean-Baptiste Cayrou

    20 avril 2018 à 20h26

    Tristan Pourcelot

    21 avril 2018 à 13h34

    Pierre Bienaimé

    22 avril 2018 à 14h52

    Timothée Cocault

    29 avril 2018 à 02h18

    Laurent Laubin

    30 avril 2018 à 08h46

    ice_masters

    02 mai 2018 à 09h54

    0xMitsurugi

    02 mai 2018 à 16h21

    birdynam

    05 mai 2018 à 15h47

    Axel Tillequin

    06 mai 2018 à 16h41

    1orenz0

    10 mai 2018 à 00h31

    Julien Lancia

    18 mai 2018 à 16h11

    Jean-Baptiste Thomas

Nation-state Level Botnet

Aucune attaque par bruteforce n'est nécessaire pour résoudre cette épreuve.

  • Date de validation

    Nom

    05 avril 2018 à 21h49

    David Bérard

    06 avril 2018 à 04h27

    Nicolas Iooss

    06 avril 2018 à 06h15

    Vincent Fargues

    08 avril 2018 à 23h39

    Brice Berna

    09 avril 2018 à 22h53

    Nicolas Surbayrole

    16 avril 2018 à 20h21

    Norbert Muda

    17 avril 2018 à 00h50

    Emilien Girault

    19 avril 2018 à 15h04

    Martin Balc'h

    19 avril 2018 à 17h04

    Jeremy Buet

    27 avril 2018 à 14h11

    Jean-Bernard Beuque

    01 mai 2018 à 18h25

    Pierre Bienaimé

    14 mai 2018 à 20h29

    Frisk0

Règlement

  1. Le concours est ouvert à tous, à l'exception des membres des comités d'organisation et de programme de SSTIC 2018, ainsi que le personnel des équipes des créateurs du challenge :
    • Synacktiv
    • Quarkslab
    • Oppida
  2. Pour gagner, les participants doivent trouver une adresse ( ...@challenge.sstic.org ) et envoyer un courrier électronique à cette adresse, puis envoyer une solution dans les quinze jours.

  3. Cette réponse devra être rédigée en français et aussi détaillée que possible. Elle précisera les problématiques techniques du défi ainsi que la démarche et les outils utilisés pour les résoudre.
  4. Les réponses seront évaluées par un jury constitué des concepteurs du challenge et du comité d'organisation du SSTIC.
  5. La date de clôture du concours est le dimanche 3 juin.
  6. Un même participant peut gagner plusieurs lots, un par classement.
  7. Les participations sont individuelles, le concours n'est pas ouvert aux équipes. Néanmoins, l'appel à un ami est autorisé.
  8. En prenant part au concours, les participants donnent tacitement leur accord pour la publication de leur réponse sur le site du SSTIC, associée à leur nom ou pseudonyme.
  9. Pour la remise des lots, les gagnants devront fournir leur identité à l'association SSTIC.
  10. Si le nombre de réponses valides est inférieur à trois, le concours pourra être prolongé.

Contact

Pour toute question, merci de contacter challenge2018@sstic.org.

Root

  • Lucas Arrivé - Synacktiv
  • Jean-Baptiste Bédrune - Quarkslab
  • Clément Berthaux - Synacktiv
  • Damien Millescamps - Oppida

ChallengeSSTIC2018 (last edited 2018-06-18 11:33:05 by ClementBerthaux)