Julien Pepinster
    • Create new note
    • Create a note from template
      • Sharing URL Link copied
      • /edit
      • View mode
        • Edit mode
        • View mode
        • Book mode
        • Slide mode
        Edit mode View mode Book mode Slide mode
      • Customize slides
      • Note Permission
      • Read
        • Only me
        • Signed-in users
        • Everyone
        Only me Signed-in users Everyone
      • Write
        • Only me
        • Signed-in users
        • Everyone
        Only me Signed-in users Everyone
      • Engagement control Commenting, Suggest edit, Emoji Reply
    • Invite by email
      Invitee

      This note has no invitees

    • Publish Note

      Share your work with the world Congratulations! 🎉 Your note is out in the world Publish Note

      Your note will be visible on your profile and discoverable by anyone.
      Your note is now live.
      This note is visible on your profile and discoverable online.
      Everyone on the web can find and read all notes of this public team.
      See published notes
      Unpublish note
      Please check the box to agree to the Community Guidelines.
      View profile
    • Commenting
      Permission
      Disabled Forbidden Owners Signed-in users Everyone
    • Enable
    • Permission
      • Forbidden
      • Owners
      • Signed-in users
      • Everyone
    • Suggest edit
      Permission
      Disabled Forbidden Owners Signed-in users Everyone
    • Enable
    • Permission
      • Forbidden
      • Owners
      • Signed-in users
    • Emoji Reply
    • Enable
    • Versions and GitHub Sync
    • Note settings
    • Note Insights New
    • Engagement control
    • Make a copy
    • Transfer ownership
    • Delete this note
    • Save as template
    • Insert from template
    • Import from
      • Dropbox
      • Google Drive
      • Gist
      • Clipboard
    • Export to
      • Dropbox
      • Google Drive
      • Gist
    • Download
      • Markdown
      • HTML
      • Raw HTML
Menu Note settings Note Insights Versions and GitHub Sync Sharing URL Create Help
Create Create new note Create a note from template
Menu
Options
Engagement control Make a copy Transfer ownership Delete this note
Import from
Dropbox Google Drive Gist Clipboard
Export to
Dropbox Google Drive Gist
Download
Markdown HTML Raw HTML
Back
Sharing URL Link copied
/edit
View mode
  • Edit mode
  • View mode
  • Book mode
  • Slide mode
Edit mode View mode Book mode Slide mode
Customize slides
Note Permission
Read
Only me
  • Only me
  • Signed-in users
  • Everyone
Only me Signed-in users Everyone
Write
Only me
  • Only me
  • Signed-in users
  • Everyone
Only me Signed-in users Everyone
Engagement control Commenting, Suggest edit, Emoji Reply
  • Invite by email
    Invitee

    This note has no invitees

    • Publish Note

    Share your work with the world Congratulations! 🎉 Your note is out in the world Publish Note

    Your note will be visible on your profile and discoverable by anyone.
    Your note is now live.
    This note is visible on your profile and discoverable online.
    Everyone on the web can find and read all notes of this public team.
    See published notes
    Unpublish note
    Please check the box to agree to the Community Guidelines.
    View profile
    Engagement control
    Commenting
    Permission
    Disabled Forbidden Owners Signed-in users Everyone
    Enable
    Permission
    • Forbidden
    • Owners
    • Signed-in users
    • Everyone
    Suggest edit
    Permission
    Disabled Forbidden Owners Signed-in users Everyone
    Enable
    Permission
    • Forbidden
    • Owners
    • Signed-in users
    Emoji Reply
    Enable
    Import from Dropbox Google Drive Gist Clipboard
       Owned this note    Owned this note      
    Published Linked with GitHub
    • Any changes
      Be notified of any changes
    • Mention me
      Be notified of mention me
    • Unsubscribe
    --- title: "Rapport d'enquête Forensics" author: ["Kireche Yannis", "Pepinster Julien", "Tourtois Antoine"] lang: "fr" lof: true book: true table-use-row-colors: true classoption: oneside code-block-font-size: \scriptsize --- # Synthèse Nous avons été contactés par la police fédérale pour faire une enquête suite a une attaque informatique qui ciblait Théobald Van Luyk, le bourgemestre de la commune de Poildevache. Premièrement, nous avons effectué une enquête OSINT pour établir le profil des acteurs principaux et de trouver des suspects potentiels en utilisant des informations publiques. Au cours de notre enquête, nous avons identifié deux suspects potentiels, à savoir Mr. Grodolonila et Mr. Parrot. Nous avons découvert que leurs opinions politiques et leurs opinions sur la chasse sont en totale contradiction avec ceux de Mr. Van Luyk et qu'ils ont les compétences en informatique nécessaires pour mener le type d'attaque dont Mme. Laprisette a été victime. Suite à cette enquête OSINT, nous avons recueilli plusieurs éléments qui nous ont permi de progresser dans notre enquête. Nous avons analysé l'ordinateur de Mme Laprissette, la secrétaire de Mr. Van Luyk, l'ordinateur de Mr. Van Luyk ainsi que le disque dur de Mr. Grodolonila, qui a été saisi par la police lors d'une perquisition de son domicile. Grâce à ces éléments, nous avons été en mesure de prouver que Mr. Parrot et Mr. Grodolonila ont collaboré pour envoyer un mail contenant une pièce jointe malveillante à Mr. Van Luyk, qui a été ouverte sur l'ordinateur de Mme. Laprisette. En ouvrant la pièce jointe infectée, Mme. Laprisette a permi aux attaquants d'accéder à son ordinateur et, à partir de celui-ci, ils ont réussi à accéder à l'ordinateur de Mr. Van Luyk. En conclusion, avec tous les éléments en notre possession, il est clair que Mr. Grodolonila et Mr. Parrot sont les responsables de cette attaque informatique et qu'ils sont donc les principaux suspects de l'enquête. # Introduction Nous avons été contactés par la police fédérale afin de mener une enquête suite à la plainte de Mr. Théobald Van Luyk. Selon cette plainte, la secrétaire de Mr. Van Luyk aurait été victime d'une attaque informatique, qui a impliqué l'envoi d'une pièce jointe infectée à son ordinateur. Mme. Laprisette a reçu un e-mail suspect le 17 septembre lorsqu'elle a ouvert sa boîte de réception en arrivant au travail. L'e-mail, qui paraissait être envoyé par Mr. Van Luyk, provenait en réalité d'une adresse similaire à celle de Mr. Van Luyk. Ce genre d'e-mail, appelé e-mail de phishing ciblé, vise à tromper leurs victimes en leur faisant croire qu'ils reçoivent un message légitime afin de les inciter à fournir des informations sensibles ou à télécharger un malware. Afin de mener notre enquête, nous avons reçu deux pièces jointes: l'e-mail suspect et une archive comprenant une copie de sauvegarde du dossier "C:\\Windows" de l'ordinateur de Mme Laprisette. Le dossier "C:\\Windows" peut contenir divers fichiers et dossiers qui peuvent être analysés pour obtenir des informations sur l'utilisation et les activités de l'ordinateur. Pour chaque pièce analysée, sera fournie une signature MD5 afin de prouver l'authenticité de celle-ci. Avant analyse, une copie de chaque pièce est effectué et les fichiers sont analysés en lecture seule pour ne pas altérer d'éventuelles preuves. L'analyse des preuves se fera ensuite en deux étapes: la récolte et l'analyse en elle même de ces preuves. # Enquête OSINT L'OSINT ou open-source intelligence est une technique de collecte de renseignements qui consiste à recueillir et à analyser des informations publiques et accessibles à tous. Dans notre cas, nous avons utilisé les réseaux sociaux ainsi que des forums qui nous ont permis de développer un portrait complet des acteurs de l'enquête. Pour mener à bien cette enquête, nous avons utilisé les différents outils répertoriés sur le site internet OSINT Framework (https://osintframework.com). ## Victime ### Mr. Théobald Van Luyk Il est la victime ciblée par la pièce jointe malveillante reçue le 17 septembre. Tout d'abord nous savons qu'il est le bourgmestre de la commune de Poildevache, ce qui veut dire qu'il est un personnage public et politisé. A travers ces réseaux sociaux nous pouvons observer ces prises de position sur l'écologie et la biodiversité selon plusieurs publications sur ce sujet. Nous pouvons aussi observer son attirance vers les systèmes open source où il partage sur Twitter la transition de sa commune vers le système d'exploitation Ubuntu. ### Mme. Christelle Laprisette Elle est la secrétaire de Mr. Van Luyk. C'est elle qui a reçu le mail avec la pièce jointe malveillante le 17 septembre. Elle ne possède qu'un compte LinkedIn qui prouve qu'elle travaille pour la commune de poil-de-vache. Le reste de ses publications n'apporte aucun intérêt à l'enquête. ## Potentiel Suspects ### Mr. Jason Grodolonila #### LinkedIn Nous avons examiné le profil LinkedIn de Mr Grodolonila et avons constaté qu'il avait suivi des études en informatique pendant deux ans à l'IESN, ce qui indique qu'il possède de connaissances poussée dans ce domaine. #### Twitter Nous avons également étudié les comptes Twitter auxquels Mr. Grodolonila est abonnée et avons pu en déduire ses opinions sur différents sujets. Elle suit principalement des personnalités françaises liées au Rassemblement National, ainsi que des comptes liés à la chasse et au mouvement QAnon, un mouvement de théorie du complot qui a émergé sur les réseaux sociaux. En ce qui concerne ses tweets, nous avons constaté qu'il n'y avait que deux réponses à un tweet provenant du compte de Mr.Van Luyk, voir [annexe A](#annexe-a). #### Le solitaire Ardenais En effectuant une recherche sur Jason Grodolonila sur le moteur de recherche Google, nous avons découvert des publications sur un forum de chasse appelé Le solitaire Ardennais. Le pseudo de l'auteur de ces publications est JGrodolonila. Nous avons également trouvé une preuve de connexion à ce compte sur le forum dans l'historique du navigateur Firefox de notre protagoniste, dans la capture de la mémoire de son disque dur. Cela indique clairement que c'est bien Mr. Grodolonila qui a posté ces messages sur le forum. Les publications de JGrodolonila sur le forum Le solitaire Ardennais font référence à son désir de passer son permis de chasse. On peut voir que plusieurs membres du forum lui apportent leur soutien et qu'il donne son adresse e-mail (jason.grodolonila@gmail.com) à un utilisateur sous le pseudo d'Ymerp.[annexe B](#annexe-b). On peut également trouver en dessous de sa publication dans la description de son profil un URL qui mène vers un blog privé qui appartient à Mr.Grodolonila http://jasongrodoisthebest.be. #### Jasongrodoisthebest.be Il y a eu quatre publications sur ce blog. La première, datée du 9 juin 2022, annonce l'ouverture du blog. La deuxième, datée du 2 septembre 2022, s'intitule "L'écran de fumée médiatique" et traite de la couverture médiatique du procès de Donald Trump suite à l'incident du Capitole en janvier 2021. Dans cette publication, l'auteur exprime plusieurs théories complotistes et mentionne le groupe Qanon, auquel il a déjà manifesté son intérêt par ses abonnements Twitter. Dans le troisième article du 6 septembre 2022, Mr.grodolonila parle du fait que le réchauffement climatique serait un complot par les gouvernements pour générer plus de croissance. Il critique largement les personnes qui défendent cette cause et il mentionne l'interdiction de la chasse comme un effet indésirable de ce complot. Dans son dernier article, daté du 9 septembre 2022 et intitulé "Ignorance pédagogique", Mr.grodolonila critique le système d'éducation supérieure. Il affirme posséder des compétences en piratage informatique approfondies. ### Remy Parrot #### Twitter Sur le profil Twitter de Mr. Parrot, nous pouvons voir qu'il est très intéressé par la présidente du Rassemblement National, Marine Lepen. Il suit son compte officiel ainsi que le compte \@lepenActu qui donne de l'actualité sur elle. Dans sa description de profil, il indique qu'il est un "IT manager" chez Topology.com et qu'il est passionné d'informatique. Il mentionne également qu'il aime la chasse et la pêche. De plus, Mr. Parrot a répondu à un tweet de Mr. Van Luyk en citant un article sur les avantages de la chasse et en exprimant son opinion défavorable à l'interdiction de la chasse dans la commune de Poildevache. #### Le solitaire Ardenais Il a été déterminé que Mr. Parrot utilise le pseudo "Ymrep" sur le forum grâce à des emails retrouvés sur le disque dur de Mr. Grodolonila. Cela indique qu'ils se sont rencontrés sur le forum et qu'ils ont continué à communiquer ultérieurement. ## Conclusion Il est clair que Mr. Parrot et Mr. Grodolonila sont très proches et partagent les mêmes opinions, comme on peut le voir sur leurs réseaux sociaux et dans leurs interactions communes. Ils ont des intérêts communs tels que la chasse, le Rassemblement National et l'informatique. Ils ont également tous les deux répondu au tweet de Mr. Van Luyk, ce qui montre leur intérêt commun pour la chasse dans la commune de Poildevache. En outre, le fait qu'ils communiquent entre eux en dehors de Twitter et du forum indique qu'ils sont les principaux suspects de l'enquête. Nous savons grâce à l'OSINT qu'ils ont les compétences nécessaires pour effectuer une attaque informatique et que leurs opinions sont strictement opposées à leur cible, Mr. Van Luyk. Particulièrement Mr. Grodolonila, qui a publiquement affirmé ses compétences en piratage informatique et dont les nombreuses allégations de complots sur ses réseaux sociaux confirment sa volonté de causer des problèmes à une figure politique comme Mr. Van Luyk. Nous avons utilisé l'enquête OSINT pour trouver des suspects potentiels et nous allons maintenant pouvoir confirmer leur culpabilité en analysant d'autres éléments dans le cadre de l'enquête. # Déroulement des évènements ## 23 Août - 6 Septembre: Échange entre Mr. Parrot, Mr. Grodolonila et Mr. Van Luyk ### Récolte Nous avons récolté tous les messages grâce à l'enquête OSINT. Ceux-ci ont été récupérés depuis les différents comptes trouvés sur Twitter (twitter.com). ### Analyse Mr. Van Luyk poste un message sur son compte Twitter, annonçant une éventuelle interdiction de la chasse à la galinette cendrée dans la commune de Poildevache. Le jour même, Mr. Parrot lui démontre son mécontentement dans une réponse à ce message. Il accuse Mr. Van Luyk de vouloir forcer ses idéologies en interdisant la chasse. À ce message, Mr. Van Luyk réplique, en avançant des arguments en faveur de l'encadrement de la chasse. Il faudra attendre le 6 septembre pour avoir une réponse à ce dernier message, mais de la part de Mr. Grodolonila cette fois-ci. Dans cette réponse, il réplique en argumentant en défaveur de l'opinion de Mr. Van Luyk. Finalement, le bourgmestre lui répond dans un dernier message, démontant, tant bien que mal, l'argument de Mr. Grodolonila. Dans une autre réponse, toujours le 6 septembre, Mr. Grodolonila exprime à nouveau ses opinions, mais sur un ton plus agressif cette fois-ci. L'échange dans son intégralité est en [annexe A](#annexe-a). ### Conclusion Nous pouvons conclure de cet échange que Mr. Grodolonila et Mr. Parrot ont des opinions opposés à ceux de Mr. Van Luyk concernant le sujet de la régulation de la chasse. Cette différence d'opinion pourrait justifier une éventuelle attaque envers la commune de Poildevache. ## 23 Août - 12 Septembre: Discussion entre Mr. Grodolonila et Mr. Parrot ### Récolte Nous avons récolté tous les messages grâce à l'enquête OSINT. Ceux-ci ont été récupérés depuis le forum Le Solitaire Ardennais. ### Analyse Mr. Grodolonila, sous le pseudonyme "JGrodolonila", poste un message de présentation sur le forum "Le Solitaire Ardennais", un forum dédié à la chasse en Wallonie. Dans ce message, il introduit son intérêt pour la chasse, et dit qu'il compte obtenir un permis de chasse prochainement. C'est sous ce message que commence la relation entre Mr. Grodolonila et Mr. Parrot lorsque celui-ci lui répond sous le pseudonyme "ymerp", le 8 septembre. Il lui témoigne également son intérêt pour la chasse et les armes à feu. À la suite de cet échange, Mr. Grodolonila fourni son adresse e-mail à Mr. Parrot afin qu'ils continuent leur échange. L'échange prend fin le 12 septembre. L'échange dans son intégralité est en [annexe B](#annexe-b). ### Conclusion En conclusion, Mr Grodolonila et Mr Parrot partage un intérêt commun pour la chasse et souhaite continuer leur échange par mail. ## 6 - 10 Septembre: Echange d'e-mails entre Mme. Laprisette et Mr. Van Luyk ### Récolte Ces e-mails ont été récupérés du disque dur de Mr. Van Luyk, dans les fichiers du gestionnaire d'e-mails ThunderBird. Il est aussi important de préciser que ces e-mails ont été retrouvés dans la corbeille, ce qui indique l'intention de Mr. Van Luyk de cacher ceux-ci. | Fichier | Signature au début de l'analyse | Signature à la fin de l'analyse | | -------------------- | -------------------------------- | -------------------------------- | | forensics-ubuntu.raw | 9d9f82eb7973cd2b0b54da1aeab899c8 | 9d9f82eb7973cd2b0b54da1aeab899c8 | ### Analyse Mr. Van Luyk envoie un premier message dans lequel il évoque une aventure entre les deux individus lors d'un voyage à Pise. Mme. Laprisette lui répond, fixant un rendez-vous dans un bar. On comprend assez vite qu'il s'agit d'une relation extraconjugale en lisant les messages suivants, où Mr. Van Luyk se réjouit du fait que sa femme soit en voyage pour rencontrer Mme. Laprisette. C'est trois jours plus tard, que la conversation reprend lorsque Mr. Van Luyk envoie un message à consonnance érotique, auquel Mme. Laprisette répond. Elle semble évoquer un autre rendez-vous. La conversation s'arrête avec ce dernier message, le 10 Septembre. L'échange est disponible en [annexe G](#annexe-g). ### Conclusion Mr. Van Luyk et Mme. Laprisette entretiennent une relation extra conjugale. ## 12 Septembre: Échange d'e-mails entre Mr. Grodolonila et Mr. Parrot ### Récolte Ces e-mails ont été extraits du disque dur de Mr. Grodolonila. L'historique des e-mails était en effet présent dans les fichiers locaux du gestionnaire de mails ThunderBird. | Fichier | Signature | Signature à la fin de l'analyse | | ---------- | -------------------------------- | -------------------------------- | | Grodo2.img | 2BE43D5F80B9BDA4CFA79D8EFA4C5D69 | 2BE43D5F80B9BDA4CFA79D8EFA4C5D69 | ### Analyse Mr. Parrot initie la discussion en envoyant un e-mail à Mr. Grodolonila pour lui demander ce qu'il recherche suite à son message sur le forum "Le Solitaire Ardennais". Mr. Grodolonila répond en indiquant qu'il souhaite simplement intégrer la communauté de chasseurs présente sur le forum, même s'il y a une forte opposition à la chasse dans sa ville. Quelques minutes plus tard, Mr. Parrot répond en indiquant qu'il habite dans les Ardennes, près d'Arlon, dans la commune de Poildevache, et qu'il comprend la frustration de Mr. Grodolonila. Il mentionne que, dans sa région, il y a également une forte opposition à la chasse et de nombreuses personnes militent pour l'interdire. Mr. Parrot soutient l'idée que chacun devrait être libre de faire ce qu'il veut. Le même jour, Mr. Grodolonila lui conseille de lire son blog pour trouver des articles qu'il décrit comme sans langue de bois, et qualifie le bourgmestre, Mr. Van Luyk de "bobo". Au même moment, Mr. Van Luyk annonce sur Twitter qu'un examen pour interdire la chasse à la galinette cendrée aura lieu à Poildevache, comme nous l'avons vu précédemment. Mr. Parrot réagit immédiatement en envoyant une capture d'écran de ce message à Mr. Grodolonila pour exprimer son désaccord. Il en profite aussi pour lui demander s'il a des compétences en informatique. Quelques messages plus tard, Mr. Parrot propose à Mr. Grodolonila de "tenter quelque chose" et lui recommande d'utiliser Telegram, une application de messagerie instantanée, reconnue pour utiliser un chiffrement de bout en bout. L'échange prend fin le 12 septembre. Il pourrait bien indiquer le début d'une collaboration entre les deux individus partageant les mêmes opinions tranchés envers la personne de Mr. Van Luyk. Il est disponible en intégralité en [annexe C](#annexe-c). ### Conclusion En conclusion, il apparaît que Mr. Parrot et Mr. Grodolonila partagent des opinions fortes envers Mr. Van Luyk et la question de la chasse à la galinette cendrée dans la commune de Poildevache. Mr. Parrot a proposé à Mr. Grodolonila de "tenter quelque chose" et lui a recommandé d'utiliser Telegram, une application de messagerie instantanée sécurisée, ce qui pourrait indiquer le début d'une collaboration entre les deux individus. Cependant, il est important de noter qu'il n'y a pas suffisamment d'informations disponibles pour déterminer précisément ce qui a été "tenté" ou quelles actions ont été entreprises par les deux individus. ## 15 Septembre: Envoi de l'e-mail suspect ### Récolte Les preuves concernant l'e-mail qu'a reçu Mme. Laprisette nous ont été fournies au début de notre investigation par Mr. Van Luyk. | Fichier | Signature au début de l'analyse | Signature à la fin de l'analyse | | --------------- | -------------------------------- | -------------------------------- | | MailSuspect.zip | 455d948e3080ac13083a2988ecb4aeca | 455d948e3080ac13083a2988ecb4aeca | ### Analyse L'e-mail a été envoyé le Jeudi 15 Septembre 2022, ce qui correspond au témoignage de Mr. Van Luyk. Un détail subtil, néanmoins crucial, est l'adresse de l'expéditeur de l'e-mail. En effet, le domaine de cette adresse est "poildevoche.be", et non pas "poildevache.be". Cette modification suggère une tentative d'hameçonnage. L'e-mail contient une pièce jointe, qui est un document au format OOXML. OOXML (Open Office XML) est un format de fichier utilisé par plusieurs applications de traitement de texte, de tableur et de présentation, telles que Microsoft Office. Cependant, les pièces jointes à un e-mail peuvent contenir des logiciels malveillants qui ne sont pas immédiatement détectables. Nous allons donc analyser cette pièce jointe pour vérifier qu'elle ne contient pas de logiciel malveillant. Pour ce faire, nous avons décompressé le fichier OOXML afin d'examiner les fichiers un par un. Le fichier `docProps/core.xml` contient les métadonnées du document, telles que son titre, sa date de création et sa date de modification. Il peut également contenir le nom de l'auteur ou du créateur du document. Dans ce cas précis, le fichier `docProps/core.xml` mentionne le nom du créateur du fichier, "Jason Grodolonila". Ce fichier est disponible en [annexe D](#annexe-d). Nous avons par ailleurs effectué une analyse antivirus de la pièce jointe en utilisant l'outil en ligne VirusTotal(https://www.virustotal.com). Il s'agit d'un service en ligne qui permet de scanner les fichiers et les URLs à la recherche de logiciels malveillants. L'analyse a révélé la présence de deux vulnérabilités connues, "CVE-2017-0199" et "CVE-2022-30190-B", aussi connues sous le nom de "Follina". L'analyse a par ailleurs montré que des communications ont été effectuées vers l'URL suivant: `http://51.38.185.89:8000/index.html`. Nous supposons que cet URL est une ressource utilisée par "Follina" pour effectuer l'exploit. L'analyse complète VirusTotal est disponible en annexe (insérer). ### Conclusion En conclusion, l'enquête a révélé qu'un e-mail suspect a été envoyé à la secrétaire de Mr. Van Luyk, Mme. Laprisette, le 15 septembre 2022, contenant une pièce jointe au format OOXML qui présentait une vulnérabilité connue sous le nom de "CVE-2022-30190-B". Des communications avec l'URL http://51.38.185.89:8000/index.html, qui pourraient être liées à une vulnérabilité connue sous le nom de "Follina", ont été également enregistrées. L'adresse de l'expéditeur de l'e-mail présentait une modification subtile du domaine, suggérant une tentative d'hameçonnage et le fichier docProps/core.xml de la pièce jointe mentionnait également le nom de Jason Grodolonila comme étant le créateur du fichier. En conséquence, Jason Grodolonila est suspecté d'être impliqué dans cette affaire et nous allons poursuivre l'enquête pour déterminer son rôle exact dans cette affaire. ## 16 Septembre: Mr. Grodolonila effectue des recherches sur Follina ### Récolte Tout comme l'historique des e-mails de Mr. Grodolonila, son historique de navigation a été récupéré depuis son disque. Ceci a également été achevé à l'aide du logiciel Autopsy[@carrier-2021]. | Fichier | Signature au début de l'analyse | Signature à la fin de l'analyse | | ---------- | -------------------------------- | -------------------------------- | | Grodo2.img | 2be43d5f80b9bda4cfa79d8efa4c5d69 | 2be43d5f80b9bda4cfa79d8efa4c5d69 | ### Analyse Mr. Grodolonila recherche les termes "follina" et "github" sur Google et se rend ensuite sur un dépôt GitHub contenant un outil permettant d'exploiter la vulnérabilité connue sous le nom de Follina. Voici le lien vers ce dépôt : https://github.com/JohnHammond/msdt-follina Follina [@CVE-2022-30190] permet à un attaquant d'exécuter du code arbitrairement à distance. Cette vulnérabilité est présente dans certains produits Microsoft, dont la suite Office. Tout ce dont elle a besoin pour fonctionner est une intervention de l'utilisateur, par exemple, une victime qui ouvre un document infecté. Une analyse plus poussée de cette vulnérabilité et son exploitation est disponible en [annexe E](#annexe-e). Ce dépôt contient tout ce qu'il faut pour exécuter l'attaque, en effet, le script se charge de forger le document Word malveillant et de servir les fichiers nécessaires à Follina sur un serveur WEB. Il suffit alors d'écouter les requêtes sur un port spécifique pour obtenir un accès à la machine de la victime. Il est important de noter que cette recherche a été faite après que l'e-mail contenant la pièce jointe infectée a été envoyé. Cela ne corrèle pas avec le fait que le nom de Mr. Grodolonila soit marqué en tant que créateur du fichier infecté qui exploite Follina, étant donné que celui a été envoyé la veille. ### Conclusion En résumé, l'enquête a révélé que Mr. Grodolonila a recherché les termes "follina" et "github" sur Google et a visité un dépôt GitHub contenant un outil permettant d'exploiter la vulnérabilité Follina. Cependant, les recherches effectuées par Mr. Grodolonila ne sont pas chronologiquement liées au fait que le nom de Mr. Grodolonila soit mentionné comme étant le créateur du fichier infecté exploitant Follina. ## 17 Septembre: Mme. Laprisette ouvre la pièce jointe malveillante ### Récolte L'e-mail ainsi qu'une copie du dossier C:\\Windows provenant de l'ordinateur de Mme. Laprisette nous ont fournis envoyés par Mr. Van Luyk au moment de la plainte. Nous avons également récupéré la mémoire vive de l'ordinateur de Mme. Laprisette dans le but de relier les informations obtenues sur le disque. Mme. Laprisette nous a par ailleurs fourni un témoignage qui nous a aidé à mieux comprendre ce qu'il s'est passé lorsque la pièce jointe a été ouverte. | Nom | Signature au début de l'analyse | Signature à la fin de l'analyse | | ------------------ | -------------------------------- | -------------------------------- | | MailSuspect.zip | 455d948e3080ac13083a2988ecb4aeca | 455d948e3080ac13083a2988ecb4aeca | | BACKUP.zip | 3344b90af326c7093984d4b2ac12bf25 | 3344b90af326c7093984d4b2ac12bf25 | | Laprisette-ROM.zip | a57ccd4b75f2dd1c408885c35c99cf4f | a57ccd4b75f2dd1c408885c35c99cf4f | | RAM-LAPRISETTE.zip | 6867733b474922ad16cff237c577dbee | 6867733b474922ad16cff237c577dbee | ### Analyse En arrivant au travail, Mme. Laprisette ouvre l'e-mail contenant la pièce jointe infectée. Pensant que l'e-mail provient de Mr. Van Luyk, elle l'ouvre sans hésitation. Soudain, son ordinateur devient lent et une lumière scintillante bleue apparait à l'écran. C'est à ce moment-là que l'attaque exploitant Follina s'est mise en route. Dans le cadre de notre analyse, nous avons considéré tous les fichiers qui ont été altérés ou créés après ou à la date du 17 septembre comme suspects. Nous avons utilisé cette date comme point de référence pour identifier les fichiers qui pourraient avoir été modifiés à la suite de l'ouverture de la pièce jointe infectée. Nous précisons que cette méthodologie a été adoptée afin de cibler les fichiers qui pourraient être liés à cet évènement et de les examiner de manière plus approfondie. Cette approche permet de limiter l'analyse aux fichiers qui sont pertinents pour l'enquête. #### 6h48 - Début de l'attaque C'est à ce moment-là qu'a été téléchargé et exécuté le fichier "nc64.exe", fichier utilisé dans l'attaque exploitant Follina. Il s'agit du même fichier retrouvé sur le dépôt GitHub consulté par Mr. Grodolonila la veille, contenant tout ce qu'il faut pour exécuter l'attaque. De plus, nous pouvons voir cette note sur le dépôt en question : > Note, this downloads a netcat binary onto the victim and places it in `C:\\Windows\\Tasks`. [@hammond-2022] Ce qui correspond à l'emplacement où a été retrouvé le fichier "nc64.exe". Voici également les signatures des deux fichiers pour comparaison: | Fichier | Signature | | ----------------- | -------------------------------- | | nc64.exe (Disque) | 523613a7b9dfa398cbd5ebd2dd0f4f38 | | nc64.exe (Github) | 523613a7b9dfa398cbd5ebd2dd0f4f38 | Nous pouvons corroborer cela grâce aux informations sur le trafic réseau de la mémoire vive de l'ordinateur de Mme. Laprisette. Voici les lignes intéressantes: ```bash 0x8b0928b73270 TCPv4 10.200.20.137 49765 51.38.185.89 8000 CLOSED 4688 WINWORD.EXE 2022-10-16 18:12:02.000000 0x8b0929dc2010 TCPv4 10.200.20.137 49767 51.38.185.89 8000 CLOSED 4688 WINWORD.EXE 2022-10-16 18:12:02.000000 ``` Comme nous pouvons le voir, Word a contacté le serveur contenant les fichiers nécessaires à l'exécution de Follina. Ce qui est consistant avec l'analyse de la pièce jointe, où nous avons retrouvé la même adresse IP. #### 6h54 - Modification des métadonnées du dossier C:\\Windows\\Tasks du backup Le fichier reprenant l'historique des commandes PowerShell exécutées sur la machine a été créé le 17 septembre 2022 à 6h54. La première commande modifie la date de modification du répertoire "C:\\Users\\Christelle\\Documents\\BACKUP\\Tasks" pour qu'elle soit définie à "25 août 2022 10:15:00". La seconde commande effectue la même opération pour le répertoire "E:\\BACKUP\\Tasks". ```powershell (Get-Item "C:\\Users\\Christelle\\Documents\\BACKUP\\Tasks\\").LastWriteTime=("25 August 2022 10:15:00") (Get-Item "E:\\BACKUP\\Tasks\\").LastWriteTime=("25 August 2022 10:15:00") ``` L'attaquant a donc voulu, volontairement, modifier les métadonnées du dossier "Tasks", pour effacer les traces de son passage et mettre en péril une potentielle analyse forensique. Malgré ça, l'attaquant ne modifiera pas la date de création du fichier "nc64.exe". ### Conclusion En résumé, lors de cette analyse forensique, nous avons collecté et analysé des données provenant de l'e-mail, du disque dur et de la mémoire vive de l'ordinateur de Mme. Laprisette, ainsi que du témoignage de cette dernière. Nous avons utilisé ces informations pour reconstituer les événements qui ont eu lieu le 17 septembre 2022, jour où Mme. Laprisette a ouvert une pièce jointe infectée dans un e-mail qu'elle croyait provenir de Mr. Van Luyk. Nous avons identifié que cette pièce jointe contenait un exploit connu sous le nom de Follina, qui a été téléchargé et exécuté sur l'ordinateur de Mme. Laprisette. Cet exploit a permis à l'attaquant de prendre le contrôle de la machine et de modifier les métadonnées de certains dossiers de sauvegarde. Nous avons également découvert, la veille, que l'attaquant avait accédé à un dépôt GitHub contenant le code nécessaire à l'exécution de l'exploit Follina, ce qui nous permet de supposer que l'attaquant avait une connaissance préalable de cet exploit. En conclusion, l'analyse forensique a permis de mettre en évidence l'utilisation d'un exploit connu pour prendre le contrôle de l'ordinateur de Mme. Laprisette et de masquer son activité en modifiant les métadonnées d'un dossier de sauvegarde. ## 25 Septembre: Mr. Grodolonila envoie un message chiffré à Mr. Parrot ### Récolte Ce fichier a été trouvé sur l'image du disque dur de Mr. Grodolonila, plus précisément sur son bureau. Il s'agissait d'un fichier texte chiffré et encodé en base64, que nous avons décodé et déchiffré à l'aide d'une attaque par brute-force sur le fichier. Le message est disponible, en entièreté, en [annexe F](#annexe-f) | Fichier | Signature au début de l'analyse | Signature à la fin de l'analyse | | ------------- | -------------------------------- | -------------------------------- | | encrypted.txt | 5133A148F4936B55364E21E4C5E7B228 | 5133A148F4936B55364E21E4C5E7B228 | | Grodo2.img | 2BE43D5F80B9BDA4CFA79D8EFA4C5D69 | 2BE43D5F80B9BDA4CFA79D8EFA4C5D69 | ### Analyse Dans ce message, Mr. Grodolonila partage ses inquiétudes envers cette enquête à Mr. Parrot. Il parle également de "passer à l'étape suivante", vu la date de création du fichier, cela correspond au cadre temporel, en sachant que la "seconde phase" de l'attaque a pris lieu le 6 octobre. Cet élément représente une preuve majeure incriminant Mr. Grodolonila et Mr. Parrot dans la mesure où ce fichier a bel et bien été créé par Mr. Grodolonila. ### Conclusion En conclusion, les éléments de preuve rassemblés indiquent que Mr. Grodolonila et Mr. Parrot sont impliqués dans l'envoi de l'e-mail contenant une pièce jointe infectée, ainsi que dans la mise en place de la "seconde phase" de l'attaque qui a eu lieu le 6 octobre. ## 6 Octobre: Seconde phase de l'attaque ### Récolte Les journaux système de l'ordinateur de Mr. Van Luyk et de Mme. Laprisette ont été récupérés depuis les images de leurs disques respectifs. Les images mémoires ont également été récupérés depuis leurs machines respectives. | Fichier | Signature au début de l'analyse | Signature à la fin de l'analyse | | ------------------------- | -------------------------------- | -------------------------------- | | Laprisette-ROM.zip | a57ccd4b75f2dd1c408885c35c99cf4f | a57ccd4b75f2dd1c408885c35c99cf4f | | forensics-ubuntu.raw | 9d9f82eb7973cd2b0b54da1aeab899c8 | 9d9f82eb7973cd2b0b54da1aeab899c8 | | RAM-LAPRISETTE.zip | 6867733b474922ad16cff237c577dbee | 6867733b474922ad16cff237c577dbee | | live-capture-vanluyk.lime | 3c33506b248a39b9389fe65d589ecadf | 3c33506b248a39b9389fe65d589ecadf | ### Analyse Dans le cadre de notre analyse forensique, nous avons simultanément examiné les mémoires mortes et les mémoires vives de l'ordinateur de Mme Laprisette et de Mr Théobald Van Luyk. afin de reconstituer la chronologie exacte des événements. Pour cela, nous avons utilisé les logiciels Autopsy et Volatility Voici le lien vers le dépôt GitHub de Volatility 3 : https://github.com/volatilityfoundation/volatility3 Cependant, il est important de noter que les heures extraites par Autopsy peuvent ne pas être à 100% précises. #### 11h12 - Accès à la pièce jointe infectée À 11h12, une activité plutôt surprenante est enregistrée dans l'historique de Mme Laprisette. Celle-ci accède à la pièce jointe depuis le navigateur Microsoft Edge. #### 12h41 - Exécution du fichier nc64.exe Le fichier nc64.exe analysé lors de l'attaque du 17 septembre est de nouveau exécuté sur la machine. On retrouve également un accès quelques minutes auparavant à la pièce jointe infectée. Il n'y a pas de doute, l'attaquant a de nouveau un accès grâce à un shell inversé à la machine de Mme. Laprisette. #### 12h49 - Début de l'attaque par brute-force sur le service SSH de la machine de Mr. Van Luyk Les journaux système reprenant l'historique des commandes exécutées sur l'interpréteur de commande PowerShell nous indiquent une attaque par brute-force sur le service SSH de la machine de Mr. VanLuyk grâce à un script PowerShell crée par l'attaquant. Tout d'abord, celui-ci importe un module PowerShell nommé "Posh-SSH". Posh-SSH est une extension de PowerShell qui permet de travailler avec SSH dans PowerShell et donc d'exécuter des commandes SSH à partir de PowerShell et de gérer les connexions SSH à distance. En combinaison avec un script, Posh-SSH peut être utilisé pour une attaque par brute-force sur un serveur SSH. Ensuite, il exécute, en contournant les protections mise en place par Powerhsell sur l'utilisation des scripts d'auteurs non vérifiés, un script nommé "maelstrom.ps1". C'est ce script qui servira à l'attaque par brute-force du service SSH tournant sur la machine de Mr. Van Luyk. ```powershell Install-Module -Name Posh-SSH .\maelstrom.ps1 Set-ExecutionPolicy Bypass -Force -Scope process .\maelstrom.ps1 ``` L'analyse des journaux système du service SSH de Mr. Van Luyk nous confirme l'attaque par brute-force depuis la machine de Mme. Laprisette commençant à 12h49. De plus, le dossier système de l'extension PowerShell Posh-SSH a été crée à 12h49 également, prouvant sa première utilisation à ce moment précis. L'extrait relevant des journaux concernés est disponible en [annexe I](#annexe-i). #### 13h08 - L'attaquant accède à la machine de Mr. Van Luyk L'attaque par brute-force porte ses fruits, car à 13h08, un mot de passe est accepté par le service SSH de la machine de Mr. Van Luyk et l'attaquant est désormais connecté. ```bash Oct 6 13:08:56 Theo-ecolo-cb sshd[9452]: Accepted password for theobald from 10.1.31.17 port 52891 ssh2 Oct 6 13:08:56 Theo-ecolo-cb sshd[9452]: pam_unix(sshd:session): session opened for user theobald(uid=1000) by (uid=0) ``` Par l'intermédiaire de la machine de Mme. Laprisette, il obtient donc une connexion SSH à la machine de Mr. Van Luyk. #### 13h09 - Clone d'un dépot github contenant une backdoor python Après s'être procuré un en SSH à la machine de Mr. Van Luyk par l'intermédiaire de la machine de Mme. Laprisette, l'attaquant souhaite se procurer un accès persistant à la machine de Mr. Van Luyk sans passer par celle de sa sécrétaire. A 13h09, il clone ce répertoire [github](https://github.com/xp4xbox/Python-Backdoor). Celui-ci a été crée par Nicolas H, sous le pseudonyme de xp4xbox. Ce dépôt github contient un tutoriel d'installation d'une backdoor python. Il stockera la backdoor python à l'emplacement suivant ```bash /home/theobald//hpid_audio/soundmaker/ ``` Une backdoor est généralement un script malveillant qui va permettre à l'attaquant d'obtenir un accès non-autorisé à la machine de sa victime, dans notre contexte celle-ci va servir à obtenir un accès à l'ordinateur de Mr. Van Luyk plus facilement. #### 13h09 - Installation d'un rootkit Après analyse du répertoire contenant la backdoor, un fichier nommé hd_audio.ko paraîssait suspect de part son emplacement et son extension. L'extension ".ko" est reservée à tout les modules utilisés par le noyau Linux. Son emplacement dans un dossier contenant une backdoor python est très suspecte. Le fichier est stocké à l'emplacement `/home/theobald/hpid_audio`. Nous avons donc décidé d'inspecter plus précisément ce fichier. Pour ce faire, nous allons utiliser le site web Virus Total, que nous avons déjà présenté lors de l'analyse de la pièce jointe. Celui-ci nous permettra de définir si ce fichier contient du code malveillant. L'analyse Virus Total nous rendra un verdict unanime et confirmera nos soupçons, le fichier hd_audio.ko est malveillant et celui-ci contient le rootkit Diamorphine. Un rootkit est un type de logiciel malveillant conçu pour dissimuler la présence de programmes malveillants, de processus et de fichiers sur un ordinateur. Les rootkits peuvent être utilisés pour maintenir une présence persistante sur un ordinateur, sans que l'utilisateur ne s'en rende compte. Diamorphine est un rootkit spécifique qui est utilisé pour Linux, il se dissimule lui-même en exploitant une vulnérabilité du noyau Linux qui permet de modifier celui-ci. Le rootkit diamorphine utilise le "magic prefix" pour cacher les fichiers qu'il crée sur le système et pour ceux que l'utilisateur veut cacher. Le "magic prefix" est un préfixe spécial ajouté au début des noms de fichiers ou de répertoire que l'attaquant souhaite dissimuler. Lorsque le système d'exploitation lit le système de fichiers, il ignore tous les fichiers qui ont ce préfixe, ce qui les rend invisibles pour l'utilisateur et pour les outils de détection de logiciels malveillants. Il utilise cette technique pour cacher des fichiers et des processus associés au rootkit, ainsi que pour masquer d'autres activités malveillantes sur le système. L'attaquant a cloné ce dépôt Github [m0nad/Diamorphine](https://github.com/m0nad/Diamorphine) pour utiliser le rootkit Diamorphine. Afin d'obtenir une liste de fichiers et de dossiers cachés volontairement par l'attaquant, nous avons décidé de rechercher le magic prefix utilisé par l'attaquant. Pour cela, nous avons décompilé le fichier grâce au logiciel Cutter[@rizin-2022], ce logiciel va nous permettre de décompiler le fichier et de nous donner son code assembleur. ```c 0x08000952 .string ".hpid_" ; len=7; RELOC TARGET 64 .rodata.str1.1 @ 0x08000952 ; [09] -r-- section size 71 named .rodata.str1.1 ``` Cette ligne de code déclare une chaîne de caractères qui est stockée dans la section de mémoire ".rodata" (en lecture seule). La chaîne de caractères est ".hpid_" et a une longueur de 7 caractères. C'est le magic prefix qu'a choisi l'attaquant pour que le rootkit Diamorphine dissimule les fichiers de la backdoor python ainsi que le fichier du rootkit. L'analyse Virus Total est disponible en [Annexe H](#annexe-h). ### Conclusion En résumé, il a été déterminé que Mme Laprisette a de nouveau ouvert la pièce jointe infectée, ce qui a permis à l'attaquant d'accéder à sa machine. L'attaquant a utilisé cette machine pour lancer une attaque par brute-force sur le service SSH de la machine de Mr Van Luyk en utilisant un script PowerShell nommé "maelstrom.ps1". Cette attaque a permis à l'attaquant d'accéder à la machine de Mr Van Luyk et de cloner un dépôt github contenant une backdoor python, ainsi que d'installer le rootkit "Diamorphine" afin de dissimuler le répertoire contenant les deux. Notre hypothèse est que l'objectif de l'attaquant était d'obtenir un accès persistant et discret à la machine de Mr. Van Luyk depuis la machine de Mme. Laprisette, dans le but de récupérer des informations compromettantes sur la victime. En conséquence, nous suspectons toujours Mr Grodolonila et Mr Parrot d'être impliqués dans cette affaire. Il convient également de noter que cette analyse a révélé un comportement suspect de la part de Mme. Laprisette. # Conclusion Mr. Van Luyk a déposé une plainte concernant une attaque informatique subie par sa secrétaire, Mme. Laprisette, qui a été causée par l'ouverture d'une pièce jointe malveillante. Cela a permis aux attaquants de prendre le contrôle de la machine de Mme. Laprisette et de poursuivre l'attaque en prenant également le contrôle de la machine de Mr. Van Luyk, qui était sur le même réseau. Nous avons déterminé que l'attaque avait été organisée par Mr. Grodolonila et Mr. Parrot dans le but d'obtenir un accès permanent au réseau de la commune et de récupérer des informations compromettantes sur Mr. Van Luyk afin d'exercer une pression sur lui, telles que les échanges d'email avec sa secrétaire révélant une relation extra-conjugale, afin d'exercer une pression sur lui. # Annexes ## Annexe-A Échange de messages sur Twitter entre Mr. Van Luyk, Mr. Grodolonila et Mr. Parrot. > Un grand bonjour à tous mes administrés sur ce nouveau compte twitter. > > On ne chôme pas à Poildevache, cette après-midi, examen au conseil communal de l'interdiction de la chasse à la galinette cendrée. > > En route vers un classement [#natura2000](https://twitter.com/hashtag/natura2000)? > > — Théobald Van Luyk (\@theovanluyk) [23 Août 2022](https://twitter.com/theovanluyk/status/1562046137862963202) > >> Je ne partage pas votre avis ! >> Laissez les personnes décider de ce qu'elles désirent faire. >> La chasse est naturelle et existe depuis des milliers d'années !!! >> >> Marre de tous ces gens qui tentent d'imposer leur idéologie. >> >> On se retrouvera bientôt comme en France si ça continue. >> >> — Rémy Parrot (\@ParrotRemy) [23 Août 2022](https://twitter.com/ParrotRemy/status/1562048810687373314) > >> Ancestrale ne veut pas dire anodine, d'où l'importance d'encadrer, car celle-ci peut mettre en péril les écosystèmes fragiles dont jouit la commune pilivachine. >> >> C'est dans une optique de conservation et de vie en bonne intelligence avec la nature que nous examinons cette motion. >> >> — Théobald Van Luyk (\@theovanluyk) [23 Août 2022](https://twitter.com/theovanluyk/status/1562051873791778816) >> >> C'est bien le rôle de la chasse de réguler les éco-systèmes! C'est la commune qui va chasser les sangliers des champs? >> >> — Jason Grodolonila (\@grodolonila) [6 Septembre 2022](https://twitter.com/grodolonila/status/1567131675565473795) > >> L'efficacité de la chasse sur la régulation des espèces reste (depuis des années voire des décennies) à démontrer. >> >> Des pistes sont envisagées du côté des cascades trophiques. C'est sacrément intéressant! >> >> — Théobald Van Luyk (\@theovanluyk) [6 Septembre 2022](https://twitter.com/theovanluyk/status/1567132386684452864) > Ou comment réduire à NEANT des siècles de traditions sur le territoire de notre commune pour récolter des votes écolo-bobo... et comment allez vous annoncer ça aux agriculteurs qui voient leurs récoltes dévastées par les cervidés?? > > — Jason Grodolonila (\@grodolonila) [6 Septembre 2022](https://twitter.com/grodolonila/status/1567130555933773826) ## Annexe-B Échange de messages entre Mr. Grodolonila et Mr. Parrot sur le forum "Le Solitaire Ardennais". > Bonjour à tous, > > Je m'appelle Jason et je suis en train de passer mon examen théorique pour obtenir un permis de chasse. Je vise évidemment le pratique pour bientôt. > > En rejoignant ce forum je souhaitais obtenir des bons plans concernant des magasins pour de l'équipement et autres bons conseils. > > Merci d'avance, > > Cordialement, > > Jason G. > > — JGrodolonila, le 23 Août 2022 à 15:51 > Salut Jason, > > Étant passionné de chasse et d'armes, j'ai quelques bons plans pour toi... > > Il y a des armureries top qualité/à un prix raisonnable du côté frontalier. > > Cela peut peut-être t'intéresser :D > > Bonne soirée ! > > — ymerp, le 08 Septembre 2022 à 20:57 > PS : je ne sais pas dans quel coin tu te trouves... mais si tu es sur ce forum, c'est que c'est du côté des Ardennes > > — ymerp, le 08 Septembre 2022 à 20:57 > Hello! > > Merci pour ta proposition. Tu peux me contacter à cette adresse: jason.grodolonila@gmail.com > > Jason > > — JGrodolonila, le 12 Septembre 2022 à 11:28 > Bonjour Jason, > > Super ! Je te reviens par mail. > > A bientôt, > > — ymerp, le 12 Septembre 2022 à 14:04 ## Annexe-C Echange d'e-mails entre Mr. Grodolonila et Mr. Parrot. > Bonjour Jason, > > Je me permets de te contacter suite au message que tu as posté sur le forum de chasse "Le Solitaire Ardennais". > > Étant également un passionné de chasse et d'armes à feu, j'aurais aimé savoir ce que tu recherches. > > Bien amicalement, > > Rémy > > — Rémy Parrot, le 26 décembre 2022 à 14h00 > Bonjour Rémy, > > Merci pour ton email. Pour le moment pas d'idées précises... J'essaye surtout de m'intégrer dans cette chouette famille des chasseurs... même si dans mon coin c'est levée de bouclier contre la chasse... > > Jason > > — Jason Grodo, le 12 septembre 2022 à 15h51 > Salut Jason, > > Je comprends ta frustration... > J'habite dans les Ardennes, à proximité d'Arlon dans la commune de Poil De Vache. > Ici aussi les personnes militent pour interdire la chasse... qu'on laisse les gens faire ce qu'ils veulent ! > > J'ai l'impression que depuis le covid, plus rien ne va... cela fait plus de 15 ans que je pratique la chasse et je ne suis pas prêt d'arrêter ! > > Hâte que les gens se réveillent... > > Rémy > > — Rémy Parrot, le 12 septembre 2022 à 15h53 > Oui j'ai entendu ça! J'ai d'ailleurs commenté les tweet du bourgmestre! > > Si tu aimes les contenus sans langue de bois, n'hésite pas à lire mon blog: https://jasongrodoisthebest.be/ > > Tu habites cette commune? J'espère que quelqu'un va remettre ce bourgmestre bobo à sa place... > > Jason > > — Jason Grodo, le 12 septembre 2022 à 15h56 > C'est marrant que tu me parles de cela, si tu es dans la même région tu as sûrement dû voir un de ses derniers tweets... > > Interdiction de la chasse... Un grand n'importe quoi ! > > Il est grand temps que cela change ;-) > > J'ai vu sur ton profil LinkedIn (si je ne me suis pas trompé) que tu avais des connaissances informatiques ? > > Bàt, > > Rémy > > — Rémy Parrot, le 12 septembre 2022 à 16h09 ![Image jointe à l'email de Mr. Parrot](images/IMG0001.png) > Oui en effet je gère assez bien. Là par exemple je t'envoie des mails depuis Thunderbird, c'est un outil qui permet de synchroniser directement les mails sur ma machine... plus besoin de lancer gmail à chaque fois. Puis c'est plus sécurisé que cette merde de Google. > > Haha oui quel con ce Théobald. Dommage que mon investissement bitcoin n'ait pas fonctionné, j'aurais racheté les bois aux alentour pour être tranquille. > > — Jason Grodo, le 12 septembre 2022 à 16h13 > Je pense qu'il y a moyen qu'on tente quelque chose... > > Par contre, tu as raison, plus sécurisé que Google mais pas encore assez à mon goût... > > Que penses-tu d'utiliser Telegram (https://web.telegram.org/z/) pour nos futurs échanges ? > > Y a même une version web. > > — Rémy Parrot, le 12 septembre 2022 à 16h29 > Je ne connaissais pas... ok faisons ça! > > — Jason Grodo, le 12 septembre 2022 à 16h30 ## Annexe-D Fichier `docProps/core.xml` récupéré après avoir décompressé la pièce jointe. La **mise en forme** du fichier a été modifiée par soucis de lisibilité. ```xml <?xml version="1.0" encoding="UTF-8"?> <cp:coreProperties xmlns:cp="<http://schemas.openxmlformats.org/package/2006/metadata/core-properties>" xmlns:dc="<http://purl.org/dc/elements/1.1/>" xmlns:dcmitype="<http://purl.org/dc/dcmitype/>" xmlns:dcterms="<http://purl.org/dc/terms/>" xmlns:xsi="<http://www.w3.org/2001/XMLSchema-instance>"> <dc:title /> <dc:subject /> <dc:creator>Jason Grodolonila</dc:creator> <cp:keywords /> <dc:description /> <cp:lastModifiedBy>JasonGrodolonila</cp:lastModifiedBy> <cp:revision>3</cp:revision> <dcterms:created xsi:type="dcterms:W3CDTF">2022-05-25T13:14:00Z</dcterms:created> <dcterms:modified xsi:type="dcterms:W3CDTF">2022-05-25T13:14:00Z</dcterms:modified> </cp:coreProperties> ``` ## Annexe-E Explication technique de Follina (CVE-2022-30190) [@CVE-2022-30190]. ### Qu’est-ce que Follina ? C’est une faille de sécurité critique permettant d’exécuter du code arbitraire à distance à travers l’outil de diagnostic MSDT (Microsoft Support Diagnostic Tool). Celle-ci est présente dans certains produits Microsoft (Windows et Windows Server). Elle peut menacer l’intégrité, la confidentialité et la disponibilité des données de l’ordinateur infecté, et ne nécessite aucune élévation de privilèges mais seulement une intervention de l’utilisateur. Cette vulnérabilité apparue début 2022, a été reconnue par Microsoft fin mai 2022, et patchée grâce à un correctif le 14 juin de la même année. ### Comment un attaquant peut utiliser Follina ? Dans un premier temps, l’attaquant créera un document MS Office, ensuite il utilisera la fonctionnalité Word qui permet de retrouver un fichier HTML sur un serveur distant. Le fichier HTML contiendra du code Javascript malveillant qu’il exécutera dans une ligne de commande via un appel à l'outil MSDT. Dés lors, l’attaquant aura les privilèges de la personne ayant ouvert le document malveillant, l'attaquant peut donc insérer du code Powershell via MSDT. Ce qui rend cette vulnérabilité encore plus critique, c'est sa possibilité d'être exploitée en lecture seule. Si le document malveillant est crée au format ".rtf", la payload s'éxécute directement, même en mode aperçu. Dans un scénario réel, l’attaquant ne peut pas exécuter soi-même le fichier sur l’ordinateur de la victime. Il a donc besoin d’une intervention de l’utilisateur pour qu’il ouvre le fichier malveillant, et donc nécessite un peu d’ingénierie sociale pour faire ouvrir ce document par la victime. (Ex : Une pièce jointe contenant le fichier malveillant envoyé par mail à la victime avec un contexte crédible pour pousser la personne concernée a ouvrir celle-ci). ### Références - "Follina — A Microsoft Office code execution vulnerability" [@beaumont-2022] - "Follina : des documents Office comme porte d’entrée" [@kaspersky-2022] - "{Warning – Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability CVE-2022-30190 (a.k.a. FOLLINA) actively exploited" [@cert-2022] ## Annexe-F Message chiffré envoyé par Mr. Grodolonila à Mr. Parrot. > Salut Remy, > Je commence à m'inquiéter. On a lancé le chantage il y a plusieurs jours mais toujours rien. > J'ai entendu dire qu'ils auraient contacté le service Forensics de la police... Tu penses que c 'est vrai? > Il serait peut être temps de passer à l'étape suivante? > Désolé de ne pas passer par signal mais je n'ai plus confiance en cette appli , je passe donc par ce fichier chiffré! > Dis moi quoi, > Jason ## Annexe-G Echange d'e-mails entre Mr. Van Luyk et Mme. Laprisette > Salut Christelle, > > C'est peut être moi qui me fait des films, mais j'ai eu l'impression que c'était un peu froid entre nous au conseil communal hier. Je comprends parfaitement le côté bizarre de la situation mais je me dis que ce serait bien qu'on mette les choses à plat par rapport à ce qu'il s'est passé à Pise, histoire de pas laisser les choses pourrir. > > Théobald > > — Théobald Van Luyk, le 06-09-22 à 09:53 > Hello Théo, > > J’avoue être un peu mal à l’aise à propos de la situation. > > Je rêverais de revivre ces moments, hors de la réalité… > > On essaie de se croiser… Peut-être au nouveau bar du coin… > > Chris > > — Christelle Laprisette, le 06-09-22 à 11:37 > Ce serait chouette en effet. Mais il ne tient qu'à nous de nous donner de nouvelles opportunités de se créer de nouveaux moments. > > Oui le bar me semble bien, on peut se dire ce soir ou demain? > > Théo > > — Théobald Van Luyk, le 06-09-22 à 13:22 > Ce soir c’est compliqué pour moi. > > Demain soir 21h ? > > — Christelle Laprisette, le 06-09-22 à 16:41 > Parfait, Sarah sera en déplacement :) > > Il me tarde de mettre les choses à plat et de discuter sereinement de la tournure que nous souhaitons donner aux évènements. > > — Théobald Van Luyk, le 06-09-22 à 20:34 > J'ai déjà envie de te retrouver loin du fracas et du stress du boulot... > > J'ai envie de pouvoir reposer mes mains sur ton corps brûlant de désir, caresser du bout des doigts les galbes de tes seins, mordiller un par un chacun de tes orteils pour t'entendre gémir de plaisir. J'aimerais pouvoir ressentir tes pieds sur mon corps... > > Ma femme sera en déplacement demain, je lance une bouteille à la mer... > > — Théobald Van Luyk, le 09-09-22 à 12:57 > Tu me fait frémir !!! Je viens avec la bouteille. > > Je serai toute à toi . > > — Christelle Laprisette, le 10-09-22 à 15:12 ## Annexe-H L'analyse Virus Total du fichier hd_audio.ko contenant le rootkit Diamorphine est disponible sur VirusTotal [ici](https://www.virustotal.com/gui/file/b0c4456420e0d650912a99acc9fe4d4eeee9f75921facafc718c2c82ea0365b5/detection). ## Annexe-I **Extrait** des journaux du service SSH de la machine de Mr. Van Luyk. ```bash Oct 6 13:04:55 Theo-ecolo-cb sshd[9289]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:04:57 Theo-ecolo-cb sshd[9289]: Failed password for theobald from 10.1.31.17 port 52805 ssh2 Oct 6 13:04:58 Theo-ecolo-cb sshd[9289]: Connection closed by authenticating user theobald 10.1.31.17 port 52805 [preauth] Oct 6 13:04:58 Theo-ecolo-cb sshd[9291]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:00 Theo-ecolo-cb sshd[9291]: Failed password for theobald from 10.1.31.17 port 52806 ssh2 Oct 6 13:05:01 Theo-ecolo-cb sshd[9291]: Connection closed by authenticating user theobald 10.1.31.17 port 52806 [preauth] Oct 6 13:05:01 Theo-ecolo-cb sshd[9293]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:04 Theo-ecolo-cb sshd[9293]: Failed password for theobald from 10.1.31.17 port 52807 ssh2 Oct 6 13:05:04 Theo-ecolo-cb sshd[9293]: Connection closed by authenticating user theobald 10.1.31.17 port 52807 [preauth] Oct 6 13:05:04 Theo-ecolo-cb sshd[9295]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:06 Theo-ecolo-cb sshd[9295]: Failed password for theobald from 10.1.31.17 port 52809 ssh2 Oct 6 13:05:07 Theo-ecolo-cb sshd[9295]: Connection closed by authenticating user theobald 10.1.31.17 port 52809 [preauth] Oct 6 13:05:07 Theo-ecolo-cb sshd[9297]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:09 Theo-ecolo-cb sshd[9297]: Failed password for theobald from 10.1.31.17 port 52810 ssh2 Oct 6 13:05:10 Theo-ecolo-cb sshd[9297]: Connection closed by authenticating user theobald 10.1.31.17 port 52810 [preauth] Oct 6 13:05:10 Theo-ecolo-cb sshd[9299]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:12 Theo-ecolo-cb sshd[9299]: Failed password for theobald from 10.1.31.17 port 52811 ssh2 Oct 6 13:05:13 Theo-ecolo-cb sshd[9299]: Connection closed by authenticating user theobald 10.1.31.17 port 52811 [preauth] Oct 6 13:05:13 Theo-ecolo-cb sshd[9301]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:16 Theo-ecolo-cb sshd[9301]: Failed password for theobald from 10.1.31.17 port 52812 ssh2 Oct 6 13:05:16 Theo-ecolo-cb sshd[9301]: Connection closed by authenticating user theobald 10.1.31.17 port 52812 [preauth] Oct 6 13:05:16 Theo-ecolo-cb sshd[9303]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:18 Theo-ecolo-cb sshd[9303]: Failed password for theobald from 10.1.31.17 port 52813 ssh2 Oct 6 13:05:19 Theo-ecolo-cb sshd[9303]: Connection closed by authenticating user theobald 10.1.31.17 port 52813 [preauth] Oct 6 13:05:19 Theo-ecolo-cb sshd[9305]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:21 Theo-ecolo-cb sshd[9305]: Failed password for theobald from 10.1.31.17 port 52814 ssh2 Oct 6 13:05:22 Theo-ecolo-cb sshd[9305]: Connection closed by authenticating user theobald 10.1.31.17 port 52814 [preauth] Oct 6 13:05:23 Theo-ecolo-cb sshd[9307]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:24 Theo-ecolo-cb sshd[9307]: Failed password for theobald from 10.1.31.17 port 52815 ssh2 Oct 6 13:05:25 Theo-ecolo-cb sshd[9307]: Connection closed by authenticating user theobald 10.1.31.17 port 52815 [preauth] Oct 6 13:05:26 Theo-ecolo-cb sshd[9309]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:27 Theo-ecolo-cb sshd[9309]: Failed password for theobald from 10.1.31.17 port 52816 ssh2 Oct 6 13:05:28 Theo-ecolo-cb sshd[9309]: Connection closed by authenticating user theobald 10.1.31.17 port 52816 [preauth] Oct 6 13:05:29 Theo-ecolo-cb sshd[9311]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:30 Theo-ecolo-cb sshd[9311]: Failed password for theobald from 10.1.31.17 port 52817 ssh2 Oct 6 13:05:31 Theo-ecolo-cb sshd[9311]: Connection closed by authenticating user theobald 10.1.31.17 port 52817 [preauth] Oct 6 13:05:32 Theo-ecolo-cb sshd[9313]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:34 Theo-ecolo-cb sshd[9313]: Failed password for theobald from 10.1.31.17 port 52818 ssh2 Oct 6 13:05:34 Theo-ecolo-cb sshd[9313]: Connection closed by authenticating user theobald 10.1.31.17 port 52818 [preauth] Oct 6 13:05:35 Theo-ecolo-cb sshd[9315]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:37 Theo-ecolo-cb sshd[9315]: Failed password for theobald from 10.1.31.17 port 52819 ssh2 Oct 6 13:05:37 Theo-ecolo-cb sshd[9315]: Connection closed by authenticating user theobald 10.1.31.17 port 52819 [preauth] Oct 6 13:05:38 Theo-ecolo-cb sshd[9317]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:39 Theo-ecolo-cb sshd[9317]: Failed password for theobald from 10.1.31.17 port 52820 ssh2 Oct 6 13:05:40 Theo-ecolo-cb sshd[9317]: Connection closed by authenticating user theobald 10.1.31.17 port 52820 [preauth] Oct 6 13:05:41 Theo-ecolo-cb sshd[9319]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:43 Theo-ecolo-cb sshd[9319]: Failed password for theobald from 10.1.31.17 port 52821 ssh2 Oct 6 13:05:43 Theo-ecolo-cb sshd[9319]: Connection closed by authenticating user theobald 10.1.31.17 port 52821 [preauth] Oct 6 13:05:44 Theo-ecolo-cb sshd[9321]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:46 Theo-ecolo-cb sshd[9321]: Failed password for theobald from 10.1.31.17 port 52823 ssh2 Oct 6 13:05:46 Theo-ecolo-cb sshd[9321]: Connection closed by authenticating user theobald 10.1.31.17 port 52823 [preauth] Oct 6 13:05:47 Theo-ecolo-cb sshd[9323]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:48 Theo-ecolo-cb sshd[9323]: Failed password for theobald from 10.1.31.17 port 52824 ssh2 Oct 6 13:05:49 Theo-ecolo-cb sshd[9323]: Connection closed by authenticating user theobald 10.1.31.17 port 52824 [preauth] Oct 6 13:05:50 Theo-ecolo-cb sshd[9325]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:52 Theo-ecolo-cb sshd[9325]: Failed password for theobald from 10.1.31.17 port 52825 ssh2 Oct 6 13:05:52 Theo-ecolo-cb sshd[9325]: Connection closed by authenticating user theobald 10.1.31.17 port 52825 [preauth] Oct 6 13:05:53 Theo-ecolo-cb sshd[9327]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:55 Theo-ecolo-cb sshd[9327]: Failed password for theobald from 10.1.31.17 port 52826 ssh2 Oct 6 13:05:55 Theo-ecolo-cb sshd[9327]: Connection closed by authenticating user theobald 10.1.31.17 port 52826 [preauth] Oct 6 13:05:56 Theo-ecolo-cb sshd[9329]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:05:58 Theo-ecolo-cb sshd[9329]: Failed password for theobald from 10.1.31.17 port 52827 ssh2 Oct 6 13:05:58 Theo-ecolo-cb sshd[9329]: Connection closed by authenticating user theobald 10.1.31.17 port 52827 [preauth] Oct 6 13:05:59 Theo-ecolo-cb sshd[9331]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:06:00 Theo-ecolo-cb sshd[9331]: Failed password for theobald from 10.1.31.17 port 52828 ssh2 Oct 6 13:06:01 Theo-ecolo-cb sshd[9331]: Connection closed by authenticating user theobald 10.1.31.17 port 52828 [preauth] Oct 6 13:06:02 Theo-ecolo-cb sshd[9333]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:06:04 Theo-ecolo-cb sshd[9333]: Failed password for theobald from 10.1.31.17 port 52829 ssh2 Oct 6 13:06:04 Theo-ecolo-cb sshd[9333]: Connection closed by authenticating user theobald 10.1.31.17 port 52829 [preauth] Oct 6 13:06:05 Theo-ecolo-cb sshd[9335]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:06:07 Theo-ecolo-cb sshd[9335]: Failed password for theobald from 10.1.31.17 port 52830 ssh2 Oct 6 13:06:08 Theo-ecolo-cb sshd[9335]: Connection closed by authenticating user theobald 10.1.31.17 port 52830 [preauth] Oct 6 13:06:08 Theo-ecolo-cb sshd[9337]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:06:10 Theo-ecolo-cb sshd[9337]: Failed password for theobald from 10.1.31.17 port 52831 ssh2 Oct 6 13:06:11 Theo-ecolo-cb sshd[9337]: Connection closed by authenticating user theobald 10.1.31.17 port 52831 [preauth] Oct 6 13:06:11 Theo-ecolo-cb sshd[9339]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:06:12 Theo-ecolo-cb sshd[9339]: Failed password for theobald from 10.1.31.17 port 52832 ssh2 Oct 6 13:06:14 Theo-ecolo-cb sshd[9339]: Connection closed by authenticating user theobald 10.1.31.17 port 52832 [preauth] Oct 6 13:06:14 Theo-ecolo-cb sshd[9343]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:06:16 Theo-ecolo-cb sshd[9343]: Failed password for theobald from 10.1.31.17 port 52833 ssh2 Oct 6 13:06:17 Theo-ecolo-cb sshd[9343]: Connection closed by authenticating user theobald 10.1.31.17 port 52833 [preauth] Oct 6 13:06:17 Theo-ecolo-cb sshd[9345]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald Oct 6 13:06:19 Theo-ecolo-cb sshd[9345]: Failed password for theobald from 10.1.31.17 port 52834 ssh2 Oct 6 13:06:20 Theo-ecolo-cb sshd[9345]: Connection closed by authenticating user theobald 10.1.31.17 port 52834 [preauth] Oct 6 13:06:20 Theo-ecolo-cb sshd[9347]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.1.31.17 user=theobald ``` # Bibliographie

    Import from clipboard

    Paste your markdown or webpage here...

    Advanced permission required

    Your current role can only read. Ask the system administrator to acquire write and comment permission.

    This team is disabled

    Sorry, this team is disabled. You can't edit this note.

    This note is locked

    Sorry, only owner can edit this note.

    Reach the limit

    Sorry, you've reached the max length this note can be.
    Please reduce the content or divide it to more notes, thank you!

    Import from Gist

    Import from Snippet

    or

    Export to Snippet

    Are you sure?

    Do you really want to delete this note?
    All users will lose their connection.

    Create a note from template

    Create a note from template

    Oops...
    This template has been removed or transferred.
    Upgrade
    All
    • All
    • Team
    No template.

    Create a template

    Upgrade

    Delete template

    Do you really want to delete this template?
    Turn this template into a regular note and keep its content, versions, and comments.

    This page need refresh

    You have an incompatible client version.
    Refresh to update.
    New version available!
    See releases notes here
    Refresh to enjoy new features.
    Your user state has changed.
    Refresh to load new user state.

    Sign in

    Forgot password

    or

    By clicking below, you agree to our terms of service.

    Sign in via Facebook Sign in via Twitter Sign in via GitHub Sign in via Dropbox Sign in with Wallet
    Wallet ( )
    Connect another wallet

    New to HackMD? Sign up

    Help

    • English
    • 中文
    • Français
    • Deutsch
    • 日本語
    • Español
    • Català
    • Ελληνικά
    • Português
    • italiano
    • Türkçe
    • Русский
    • Nederlands
    • hrvatski jezik
    • język polski
    • Українська
    • हिन्दी
    • svenska
    • Esperanto
    • dansk

    Documents

    Help & Tutorial

    How to use Book mode

    Slide Example

    API Docs

    Edit in VSCode

    Install browser extension

    Contacts

    Feedback

    Discord

    Send us email

    Resources

    Releases

    Pricing

    Blog

    Policy

    Terms

    Privacy

    Cheatsheet

    Syntax Example Reference
    # Header Header 基本排版
    - Unordered List
    • Unordered List
    1. Ordered List
    1. Ordered List
    - [ ] Todo List
    • Todo List
    > Blockquote
    Blockquote
    **Bold font** Bold font
    *Italics font* Italics font
    ~~Strikethrough~~ Strikethrough
    19^th^ 19th
    H~2~O H2O
    ++Inserted text++ Inserted text
    ==Marked text== Marked text
    [link text](https:// "title") Link
    ![image alt](https:// "title") Image
    `Code` Code 在筆記中貼入程式碼
    ```javascript
    var i = 0;
    ```    		 
    var i = 0;
    :smile: :smile: Emoji list
    {%youtube youtube_id %} Externals
    $L^aT_eX$ LaTeX
    :::info
    This is a alert area.
    :::

    This is a alert area.
    Versions and GitHub Sync
    Get Full History Access

    • Edit version name
    • Delete

    revision author avatar     named on  

    More Less

    Note content is identical to the latest version.
    Compare
      Choose a version
      No search result
      Version not found
    Sign in to link this note to GitHub
    Learn more
    This note is not linked with GitHub
     

    Feedback

    Submission failed, please try again

    Thanks for your support.

    On a scale of 0-10, how likely is it that you would recommend HackMD to your friends, family or business associates?

    Please give us some advice and help us improve HackMD.

     

    Thanks for your feedback

    Remove version name

    Do you want to remove this version name and description?

    Transfer ownership

    Transfer to
      Warning: is a public team. If you transfer note to this team, everyone on the web can find and read this note.

        Link with GitHub

        Please authorize HackMD on GitHub
        • Please sign in to GitHub and install the HackMD app on your GitHub repo.
        • HackMD links with GitHub through a GitHub App. You can choose which repo to install our App.
        Learn more  Sign in to GitHub

        Push the note to GitHub Push to GitHub Pull a file from GitHub

          Authorize again
         

        Choose which file to push to

        Select repo
        Refresh Authorize more repos
        Select branch
        Select file
        Select branch
        Choose version(s) to push
        • Save a new version and push
        • Choose from existing versions
        Include title and tags
        Available push count

        Pull from GitHub

         
        File from GitHub
        File from HackMD

        GitHub Link Settings

        File linked

        Linked by
        File path
        Last synced branch
        Available push count

        Danger Zone

        Unlink
        You will no longer receive notification when GitHub file changes after unlink.

        Syncing

        Push failed

        Push successfully