# Brigitte Friang - Accès à l'arène - Forensic Walkthrough ###### tags: `Forensics` `Brigitte Friang` `Volatility` `Ransomware` *Par Maestran - Membre de Hacktimel Avec l'aide de m00nm00n et Vilhjalmur* Voici un Write-Up permettant d'accéder à l'arène de challenge pour le Challenge Brigitte Friang organisé par la DGSE et l'ESIEE, qui a duré du samedi 24 octobre au mercredi 11 novembre 2020. Le challenge commence à l'URL https://www.challengecybersec.fr/ : ![](https://i.imgur.com/fBETW9j.png) ## Accès au chat La 1ère étape consiste à faire un F12 sur le code source pour trouver des infos. Dans le *<head>*, on trouve un commentaire nous permettant de poursuivre le challenge : ![](https://i.imgur.com/QHNTps1.png) On se rend sur https://www.challengecybersec.fr/static/message-secret.html : ![](https://i.imgur.com/uw0xUlU.png) Ok ! Un message chiffré ! Et le titre de la page est `Cesar` ! De plus, on constate des caractères en gras sur la page : **/joha** J'ai utilisé https://gchq.github.io/CyberChef/ afin de trouver le texte déchiffré : ``` Si vous parvenez a lire ce message, c'est que vous pouvez rejoindre l’operation «Brigitte Friang». Rejoignez-nous rapidement. Brigitte Friang est une resistante, journaliste et ecrivaine francaise. Elle est nee le 23/01/1924 a Paris, elle a 19 ans sous l'occupation lorsqu'elle est recrutee puis formee comme secretaire/chiffreuse par un agent du BCRA, Jean-Francois Clouet des Perruches alias Galilee chef du Bureau des operations aeriennes (BOA) de la Region M (Cote du Nord, Finistere, Indre et Loire, Orne, Sarthe, Loire inferieure, Maine et Loire, Morbihan, Vendee). Brigitte Friang utilise parfois des foulards pour cacher des codes. Completez l’URL avec l’information qui est cachee dans ce message. Suite a l’arrestation et la trahison de Pierre Manuel, Brigitte Friang est arretee par la Gestapo. Elle est blessee par balle en tentant de s’enfuir et est conduite a l’Hopital de la Pitie. Des resistants tenteront de la liberer mais sans succes. Elle est torturee et ne donnera pas d'informations. N’oubliez pas la barre oblique. Elle est ensuite envoyee dans le camp de Ravensbruck. Apres son retour de deportation, elle participe a la creation du Rassemblement du peuple français (RPF). Elle integre la petite equipe, autour d'Andre Malraux, qui va preparer le discours fondateur de Strasbourg en 1947 et les elections legislatives de 1951. Elle rentre a l'ORTF, et devient correspondante de guerre. Elle obtient son brevet de saut en parachute et accompagne des commandos de parachutistes en operation durant la guerre d’Indochine. Elle raconte son experience dans Les Fleurs du ciel (1955). D'autres agents sont sur le coup au moment ou je vous parle. Les meilleurs d'entre vous se donneront rendez-vous a l'European Cyberweek a Rennes pour une remise de prix. Resolvez le plus d'epreuves avant la fin de cette mission et tentez de gagner votre place parmi l'elite! Par la suite, elle couvre l’expedition de Suez, la guerre des Six Jours et la guerre du Viet Nam. Elle prend position en faveur d'une autonomie du journalisme dans le service public ce qui lui vaut d'etre licenciee de l'ORTF. Elle ecrit plusieurs livres et temoigne de l'engagement des femmes dans la Resistance. ``` En utilisant le meme décalage, **joha** donne **chat** On doit donc se rendre sur https://www.challengecybersec.fr/chat pour continuer le challenge : ![](https://i.imgur.com/JWP6nC4.png) On nous propose une page avec 4 missions différentes ! Classe ! ## Epreuve de forensic 1 - Analyse de Log Nginx Allons parler à Alphonse Bertillon du service forensic : ![](https://i.imgur.com/b9nSg3H.png) On obtiens ainsi un fichier de log de Nginx : ![](https://i.imgur.com/KhiF23e.png) Un petit *grep* sur le fichier nous donne ce que l'on cherche : ``` cat nginx.log | grep -i 'evil' 179.97.58.61 - - [Nov 05 2020 16:22:20] "POST /login HTTP/1.1" 200 476 "-" "Evil Browser" ``` Certains de mon équipe ont utilisé l'outil suivant pour analyser les logs visuellement et trouver le bon log : https://cloudvyzor.com/ ## Epreuve de forensic 2 - Infection On envoie l'IP à notre ami Alphonse, qui nous réponds avec la suite du challenge : ![](https://i.imgur.com/qWnaS9h.png) Ok ! On va devoir regarder ce qu'il s'est passé chez la résistance. On télécharge une image jpeg assez lourde : ![](https://i.imgur.com/9txpXB5.png) J'avais d'abord commencé à utiliser l'outil Binwalk pour l'analyser, cependant, je me suis rendu compte qu'il me sortait les bons fichiers mais aussi des fichiers pour les étapes d'après. J'ai tout simplement unzip l'image : ```unzip evil_country_landscape.jpg``` Et j'obtiens deux fichiers : * part2.img * part3.img ### Reconsitution du RAID 5 Avec la commande *file* on a des informations sur ces fichiers, il s'agit de deux partitions provenant d'un RAID 5 : ``` file part2.img part2.img: Linux Software RAID version 1.2 (1) UUID=dfaa645a:19afec72:60f1fa33:30d841da name=user-XPS-15-9570:6 level=5 disks=3 ``` ``` file part3.img part3.img: Linux Software RAID version 1.2 (1) UUID=dfaa645a:19afec72:60f1fa33:30d841da name=user-XPS-15-9570:6 level=5 disks=3 ``` Petit rappel, le RAID 5 permet de pouvoir retrouver ses données lors de la perte d'un disque grâce à des algorithmes de parité mathématiques : ![](https://i.imgur.com/aL5Fu3u.png) Pour reconstituer le RAID 5, j'ai utilisé un outil en ligne de commande nommé *mdadm* : ``` mdadm --examine part2.img part2.img: Magic : a92b4efc Version : 1.2 Feature Map : 0x0 Array UUID : dfaa645a:19afec72:60f1fa33:30d841da Name : user-XPS-15-9570:6 Creation Time : Tue Oct 6 11:29:56 2020 Raid Level : raid5 Raid Devices : 3 Avail Dev Size : 333824 (163.00 MiB 170.92 MB) Array Size : 333824 (326.00 MiB 341.84 MB) Data Offset : 4096 sectors Super Offset : 8 sectors Unused Space : before=4016 sectors, after=0 sectors State : clean Device UUID : 666ea76a:5c750c31:b7c6c06b:1c9c7ee1 Update Time : Tue Oct 6 14:38:08 2020 Bad Block Log : 512 entries available at offset 16 sectors Checksum : 4fdf0461 - correct Events : 26 Layout : left-symmetric Chunk Size : 512K Device Role : Active device 1 Array State : .AA ('A' == active, '.' == missing, 'R' == replacing) ``` ``` mdadm --examine part3.img part3.img: Magic : a92b4efc Version : 1.2 Feature Map : 0x0 Array UUID : dfaa645a:19afec72:60f1fa33:30d841da Name : user-XPS-15-9570:6 Creation Time : Tue Oct 6 11:29:56 2020 Raid Level : raid5 Raid Devices : 3 Avail Dev Size : 333824 (163.00 MiB 170.92 MB) Array Size : 333824 (326.00 MiB 341.84 MB) Data Offset : 4096 sectors Super Offset : 8 sectors Unused Space : before=4016 sectors, after=0 sectors State : clean Device UUID : 8534de66:19c46d61:2668aa72:978c14a8 Update Time : Tue Oct 6 14:38:08 2020 Bad Block Log : 512 entries available at offset 16 sectors Checksum : 49f6ab29 - correct Events : 26 Layout : left-symmetric Chunk Size : 512K Device Role : Active device 2 Array State : .AA ('A' == active, '.' == missing, 'R' == replacing) ``` La commande examine me permet de verifier l'état de ces deux .img, et je vois qu'il est possible de reconstituer le RAID sans problème : Je place ainsi mes 2 .img dans des périphériques loop : ``` losetup /dev/loop1 part2.img losetup /dev/loop2 part3.img ``` Puis, j'utilise le paramètre assemble pour recreer mon RAID 5 : ``` mdadm --assemble /dev/md127 /dev/loop1 /dev/loop2 ``` ![](https://i.imgur.com/DYursmh.gif) La commande suivante me permet de vérifier que mon RAID5 a bien été reconsitué sans erreur : ``` cat /proc/mdstat Personalities : [linear] [multipath] [raid0] [raid1] [raid6] [raid5] [raid4] [raid10] md127 : active (auto-read-only) raid5 loop2[3] loop1[1] 333824 blocks super 1.2 level 5, 512k chunk, algorithm 2 [3/2] [_UU] ``` On peux donc monter le RAID5 : ``` mkdir /mnt/forensic mount /dev/md127 /mnt/forensic/ ``` Dans mon dossier, j'ai un fichier dump.zip que j'unzip : ``` unzip dump.vmem dump.vmem et dump.vmem.sha256 ``` Et je trouve deux fichiers, un dump et le sha256 de ce dump. Je vérifie que l'intégrité de ce fichier est correcte : ``` cat dump.vmem.sha256 dd170dfbb7046c18850b97ab0f7d7227ad03fbd0b692e60b10549b211373941b sha256sum dump.vmem dd170dfbb7046c18850b97ab0f7d7227ad03fbd0b692e60b10549b211373941b dump.vmem ``` On peux continuer à avancer ! ### Analyse de l'image mémoire Afin d'analyser ce fichier, j'utilise l'outil *volatility* : ``` vol.py -f dump.vmem imageinfo Volatility Foundation Volatility Framework 2.6.1 INFO : volatility.debug : Determining profile based on KDBG search... Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_24000, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_24000, Win7SP1x64_23418 AS Layer1 : WindowsAMD64PagedMemory (Kernel AS) AS Layer2 : FileAddressSpace (/home/tristan/Documents/DGSE/dump.vmem) PAE type : No PAE DTB : 0x187000L KDBG : 0xf80002c4c0a0L Number of Processors : 1 Image Type (Service Pack) : 1 KPCR for CPU 0 : 0xfffff80002c4dd00L KUSER_SHARED_DATA : 0xfffff78000000000L Image date and time : 2020-10-05 11:17:37 UTC+0000 Image local date and time : 2020-10-05 13:17:37 +0200 ``` Le profil suggéré par volatility est Win7SP1x64, je vais donc utiliser ce dernier. Parcourons les fichiers présents sur ce dump mémoire avec *filescan* : ``` vol.py -f dump.vmem --profile=Win7SP1x64 filescan Offset(P) #Ptr #Hnd Access Name ------------------ ------ ------ ------ ---- 0x00000000051e7620 33 0 RW-rwd \Device\HarddiskVolume1\$Directory 0x00000000051ea330 11 0 R--r-d \Device\HarddiskVolume1\Windows\System32\pcaui.dll 0x00000000051ea480 1 1 R--rw- \Device\HarddiskVolume1\Windows\winsxs\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac 0x00000000051eab70 16 0 R--rwd \Device\HarddiskVolume1\Windows\System32\dxgi.dll 0x00000000051eae20 29 0 R--rwd \Device\HarddiskVolume1\Windows\System32\WinSATAPI.dll 0x00000000051f69a0 15 0 R--r-d \Device\HarddiskVolume1\ProgramData\Microsoft\Windows Defender\Definition Updates\{D2B0B133-42ED-44D3-809A-46EBB62BA863}\mpasdlta.vdm 0x0000000005e872f0 17 0 RW-rwd \Device\HarddiskVolume1\$Directory 0x0000000005f4a070 1 1 ------ \Device\Mailslot\ProtectedPrefix\NetWorkService 0x0000000005f4af20 16 0 R--rwd \Device\HarddiskVolume1\Windows\System32\ole32.dll 0x00000000060392c0 1 1 RWD--- \Device\HarddiskVolume1\Windows\System32\config\RegBack\SYSTEM 0x00000000060398a0 1 1 RW---- \Device\HarddiskVolume1\Windows\System32\config\SYSTEM [...] ``` Je sors le résulat de cette commande afin d'éviter de relancer un scan de fichier à chaque fois que je cherche une information : ``` vol.py -f dump.vmem --profile=Win7SP1x64 filescan > file.txt ``` Puis, je vais grep avec des mots clés tels que .txt, .docx, .pdf etc ... histoire de trouver un fichier contenant des informations : ``` cat file.txt | grep "txt" [...] 0x000000001715ed50 16 0 R--r-- \Device\HarddiskVolume1\Users\user\Documents\informations_attaque.txt.evil 0x000000003faf6a00 16 0 R--r-- \Device\HarddiskVolume1\Users\user\AppData\Roaming\System32Work\EncryptedFileList.txt [...] ``` Ces deux fichiers m'intéressent, je vais donc les extrairent avec *dumpfiles* : ``` vol.py -f dump.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000001715ed50 -n -D ./ DataSectionObject 0x1715ed50 None \Device\HarddiskVolume1\Users\user\Documents\informations_attaque.txt.evil ``` ``` vol.py -f dump.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000003faf6a00 -n -D ./ DataSectionObject 0x3faf6a00 None \Device\HarddiskVolume1\Users\user\AppData\Roaming\System32Work\EncryptedFileList.txt ``` Bon, le fichier informations_attaque est bien entendu chiffré... Une extension en .evil en plus ? Ça sent le ransomware à plein nez : ``` cat file.None.0xfffffa800e9fec60.informations_attaque.txt.evil.dat ���oB��d��U�o���6 5���q���P�(*�k����%�^��▒3�,��1����[�O�h� �y �+��~e�i�]�ć%�idY��b���RH �G#��� �����*�w `�tr��� 8�v���tȱ�Ŷ����b��#���i��D�02�)�_�n#6���Su ���u��|{`@F7}��m���vz*ң�KJH�+"$�; �.S&0=�1"��"#f��AY@UQ� �Pd9~v+o�Wp�@Oq�-�"5v/l�*I��!�I������K�P�q`<������h��F�Oȉ��A�=T�*��!m�i}�w�\`�I�g���3��c~�����0�����▒5,⁒4�����یIE�x��p}�"-l1�_�p�Y��Q��r�y� ,!'�>ň��/3�w �7���/���M ȬmwҒ�d�'B�y;�b�^��Ҥ�:~�4~��N1��m�B&-m.�ꢏz��-Q:wpl#ƍL/�,9�|���`Ӧ��5g* ������ +#�N���EھT��������}UpY31H��{�FIQ�▒� ��I�7!_���zh��GmT��l����/bª?7�*��땺��!��4fi3N��▒�Q���▒�Sb��'cw��h�c3f�%��P� 9O�W~k��`��hgiEE�-"�E|� ``` L'autre fichier est une liste de fichier chiffré ... dont notre fichier information : ``` cat file.None.0xfffffa8001100e20.EncryptedFileList.txt.dat C:\ProgramData\Microsoft\User Account Pictures\guest.bmp C:\ProgramData\Microsoft\User Account Pictures\user.bmp C:\ProgramData\Microsoft\User Account Pictures\user.dat C:\Users\user\Documents\informations_attaque.txt C:\ProgramData\Microsoft\RAC\PublishedData\RacWmiDatabase.sdf C:\Users\Public\Music\Sample Music\Kalimba.mp3 C:\Users\Public\Music\Sample Music\Maid with the Flaxen Hair.mp3 C:\Users\Public\Music\Sample Music\Sleep Away.mp3 C:\Users\Public\Pictures\Sample Pictures\Chrysanthemum.jpg C:\Users\Public\Pictures\Sample Pictures\Desert.jpg C:\Users\Public\Pictures\Sample Pictures\Hydrangeas.jpg C:\Users\Public\Pictures\Sample Pictures\Jellyfish.jpg C:\Users\Public\Pictures\Sample Pictures\Koala.jpg C:\Users\Public\Pictures\Sample Pictures\Lighthouse.jpg C:\Users\Public\Pictures\Sample Pictures\Penguins.jpg C:\Users\Public\Pictures\Sample Pictures\Tulips.jpg [...] ``` Il va falloir trouver ce ransomware ! Voyons voir si il y a un executable suspect dans le dossier utilisateurs : ``` cat file.txt | grep -E 'Users.*exe 0x000000000eb012e0 16 0 RWD--- \Device\HarddiskVolume1\Users\user\AppData\Roaming\Frfx\firefox.exe 0x000000003daa7f20 12 0 R--r-- \Device\HarddiskVolume1\Users\user\Documents\Firefox_installer.exe 0x000000003db6ee60 16 0 RWD--- \Device\HarddiskVolume1\Users\user\AppData\Local\Drpbx\drpbx.exe 0x000000003ddb1890 7 0 R--r-d \Device\HarddiskVolume1\Users\user\Documents\Firefox_installer.exe 0x000000003fc11770 16 0 R--r-d \Device\HarddiskVolume1\Users\user\AppData\Local\Drpbx\drpbx.exe ``` L'installer de firefox me fait tiquer. En général, on trouve plutot un installer dans Téléchargements et pas dans Documents... Je vais donc faire un *grep* sur firefox : ``` cat file.txt | grep -i 'Firefox' 0x000000003daa7f20 12 0 R--r-- \Device\HarddiskVolume1\Users\user\Documents\Firefox_installer.exe 0x000000003ddb1890 7 0 R--r-d \Device\HarddiskVolume1\Users\user\Documents\Firefox_installer.exe 0x000000003fac8d10 32 0 RW-r-- \Device\HarddiskVolume1\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_Firefox_installe_d514681bfc376345742b2157ace1e72c17fd991_cab_0938b7ba\appcompat.txt.evil 0x000000003fdefe20 16 0 RW-r-- \Device\HarddiskVolume1\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_Firefox_installe_d514681bfc376345742b2157ace1e72c17fd991_cab_0938b7ba\appcompat.txt ``` Tiens, pourquoi y'a-t-il le même fichier 'appcompat.txt' en clair et chiffré ? Étrange... Bon, sortons l'executable histoire d'en être sur : ``` vol.py -f dump.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000003daa7f20 -n -D ./ ImageSectionObject 0x3daa7f20 None \Device\HarddiskVolume1\Users\user\Documents\Firefox_installer.exe DataSectionObject 0x3daa7f20 None \Device\HarddiskVolume1\Users\user\Documents\Firefox_installer.exe ``` En uplodant le fichier .dat VirusTotal : ![](https://i.imgur.com/hJotyWH.png) Il est clair que ce FirefoxInstaller.exe est malveillant. Essayons maintenant de l'analyser. ### Analyse du ransomware Pour réaliser l'analyse statique, j'ai utilisé *radare2* Déja, en regardant les chaines de caractères sur le fichier .img, on ne trouve rien de rassurant : ``` r2 -A file.None.0xfffffa8008e8b010.Firefox_installer.exe.img [x] Analyze all flags starting with sym. and entry0 (aa) [x] Analyze function calls (aac) [x] Analyze len bytes of instructions for references (aar) [x] Check for objc references [x] Check for vtables [x] Type matching analysis for all functions (aaft) [x] Propagate noreturn information [x] Use -AA or aaaa to perform additional experimental analysis. [0x0116564a]> izz [...] 461 0x000059ec 0x010f77ec 47 95 .text utf16le Que les choses soient bien claires, nous ne tol 462 0x00005a4c 0x010f784c 20 41 .text utf16le rons aucune entrave 463 0x00005a76 0x010f7876 11 23 .text utf16le notre plan 464 0x00005a8e 0x010f788e 17 35 .text utf16le Votre action de r 465 0x00005ab2 0x010f78b2 23 47 .text utf16le sistance est vaine et d 466 0x00005ae8 0x010f78e8 9 19 .text utf16le e de sens 467 0x00005afd 0x010f78fd 11 23 .text utf16le Nous vous d 468 0x00005b15 0x010f7915 18 37 .text utf16le truirons sans piti 469 0x00005b3b 0x010f793b 16 33 .text utf16le , vous et vos id 470 0x00005b5d 0x010f795d 4 9 .text utf16le es r 471 0x00005b67 0x010f7967 14 29 .text utf16le volutionnaires 472 0x00005b86 0x010f7986 15 31 .text utf16le Vous avez peut- 473 0x00005ba6 0x010f79a6 9 19 .text utf16le tre devin 474 0x00005bba 0x010f79ba 42 85 .text utf16le notre plan, mais vous ne parviendrez pas 475 0x00005c10 0x010f7a10 16 33 .text utf16le le transmettre 476 0x00005c32 0x010f7a32 28 57 .text utf16le la coalition internationale 477 0x00005c6d 0x010f7a6d 16 33 .text utf16le Vos preuves ont 478 0x00005c93 0x010f7a93 7 15 .text utf16le chiffr 479 0x00005ca3 0x010f7aa3 12 25 .text utf16le es et sont d 480 0x00005cbd 0x010f7abd 33 67 .text utf16le sormais inaccessibles mouhahahaha 481 0x00005d02 0x010f7b02 44 89 .text utf16le Vous pouvez toujours essayer de payer la ran 482 0x00005d5c 0x010f7b5c 28 57 .text utf16le on, vous ne retrouverez rien 483 0x00005d96 0x010f7b96 8 17 .text utf16le Envoyez 484 0x00005da8 0x010f7ba8 15 31 .text utf16le EvilCoins ici: 485 0x00005dc8 0x010f7bc8 14 30 .text utf16le FormBackground 486 0x00005de6 0x010f7be6 5 11 .text utf16le .evil 487 0x00005dfc 0x010f7bfc 26 53 .text utf16le dataGridViewEncryptedFiles 488 0x00005e32 0x010f7c32 7 15 .text utf16le Deleted 489 0x00005e42 0x010f7c42 13 27 .text utf16le ColumnDeleted 490 0x00005e5e 0x010f7c5e 4 9 .text utf16le Path 491 0x00005e68 0x010f7c68 10 21 .text utf16le ColumnPath 492 0x00005e7e 0x010f7c7e 18 37 .text utf16le FormEncryptedFiles 493 0x00005ea4 0x010f7ca4 14 29 .text utf16le EncryptedFiles 494 0x00005ece 0x010f7cce 11 23 .text utf16le Address.txt 495 0x00005ee6 0x010f7ce6 49 99 .text utf16le Vous pensez que vous pouvez vous en sortir comme 496 0x00005f56 0x010f7d56 25 51 .text utf16le Arg, vous nous avez eu... 497 0x00005f8f 0x010f7d8f 127 255 .text utf16le chiffrement de vos fichiers. It will take for a while. After done I will close and completely remove myself from your computer. [...] ``` Bon ! Pour retrouver mon fichier, j'ai besoin de 2 infos ! Une clé de chiffrement et l'algorithme utilisé : #### Recherche de la clé de chiffrement En parcourant les chaines, j'en trouve une en base 64 : ``` 544 0x00006707 0x010f8507 24 49 .text utf16le RXZpbERlZmF1bHRQYXNzIQ== ``` Que je décode : ``` echo 'RXZpbERlZmF1bHRQYXNzIQ==' | base64 -d EvilDefaultPass! ``` Yes ! On a le password ! Pas très intelligent de laisser la clé de chiffrement dans l'éxécutable :upside_down_face: #### Recherche de l'algorithme Il y a 2 possibilités pour l'algorithme. * Soit c'est un algorithme customisé, il faudra alors aller regarder directement le code source pour essayer de faire du reverse engineering. * Soit c'est un algorithme connu importé avec une bibliothèque. Heureusement pour nous, en regardant les chaines de caractères à nouveau : ``` 295 0x00004dd5 0x010f6bd5 24 25 .text ascii AesCryptoServiceProvider ``` Visiblement, ce ransomware utilise AES pour chiffrer ses fichiers. A partir de ce moment la, j'ai utilisé ce site web pour déchiffrer mon message : http://aes.online-domain-tools.com/ Même si je ne connaissais pas le mode d'AES utilisé, il me suffisait de tester les 4 possibles : ![](https://i.imgur.com/422i2oj.png) Et je peux télécharger le fichier déchiffré ! Petite partie à part, mais pendant que je faisais ma veille sur tweeter, je suis tombé sur ces deux tweets parlant d'une nouvelle version du Ransomware Jigsaw nommé SawSeeSon : https://twitter.com/demonslay335/status/1323348640337977349 https://twitter.com/GrujaRS/status/1320118445732732933 ![](https://i.imgur.com/rZwJzon.gif) Je n'ai pas fais d'analyse dynamique du ransomware pour voir ce qu'on vu les utilisateurs, mais en cherchant un peu sur le net des infos : https://www.pcrisk.com/removal-guides/19232-evil-jigsaw-ransomware ![](https://i.imgur.com/WE9rmEL.gif) Voici à quoi ressemblait ce ransomware ! ## Accès à l'arène : J'ai donc mon fichier déchiffré : ``` cat odt-IV-f314b50209b066fc470ae1164a8579e0.dat �p�li�� o�s?�_�estin� � toute force alli�e en mesure de nous venir en aide, nous la r�sistance d'Evil Country. Hier, nous sommes parvenus � mettre la main sur un dossier confidentiel �manant des services secrets d'Evil Gouv. Ces documents font mention d'une op�ration d'an�antissement de la r�sistance � l'aide d'un puissant agent innervant, le VX. L'attaque est pr�vue dans 4 jours � 4h40 au sein du fief de la r�sistance. Nous savons de source sure qu'un convoi permettant la synth�se du VX partira de l'entrepot Stockos de Bad Country vers le fief de la r�sistance d'ici quelques jours. Il faut intercepter ce convoi ! �F��f�Jev�nous � cette adresse : http://ctf.challengecybersec.fr/7a144cdc500b28e80cf760d60aca2ed3 sz�Zn|3���� ��xJ:+�f�J v� ��xJ:+�f�J v� ��xJ:+�f�J v� ��xJ:+�f�J v� ��xJ:+�f�J v� ��xJ:+�f�J v� ��xJ:+�f�J v� [... Le reste du message est du padding] ``` On arrive enfin sur le lien du CTF : http://ctf.challengecybersec.fr/7a144cdc500b28e80cf760d60aca2ed3 Ce CTF comportait environ 15 épreuves avec des sujets variés ![](https://i.imgur.com/xbCQsOq.png) Merci à la DGSE et L'ESIEE pour ces challenges !