--- title: FIC tags: FIC authors: jeremy.delbarre --- sujet principaux: - Rootkit - LAN # scénario 1: proposition de scénario: Le responsable réseau c'est rendu compte qu'une adresse ip inconnu faisait des requetes sur l'ordinateur permettant l'administration du réseau interne de l'entreprise. l'entreprise fait donc appel a vous pour trouver l'origine des requetes et pour savoir si leur réseau interne est corrompu. étape de l'attaque: - infiltration du réseau local de l'entreprise a voir comment (phishing, clé usb) - accéder a une machine importante du réseau - installation du rootkit ## Etape du CTF ### Etape 1 - fichier fournie - pcap de la sonde réseau de l'entreprise - objectif - trouver l'ordinateur/serveur de l'entreprise sur lesquelles les requetes sont faites - flags - adresse IP de la machine de l'entreprise compromise ### Etape 2 - fichier fournie: - dump de la mémoire - objectif: - trouver le processus corrompue - flag - nom ou autres information sur le processus corrumpue (encore a définir) ### Etape 3 - fichier fournie - dump du disque de la machine - objectif - trouver les valeurs qui ont était modifier - flag - # scénario 2 Votre entreprise est accusé d'avoir mener une attaque de déni de service sur une autre entreprise, après enquête il se trouve que le réseau de l'entreprise a été utilisé a votre insu pour mener une attaque. Votre objectif vas être de comprendre comment le botnet c'est infiltré sur votre réseau et a contaminer tout les machines piste: vlan hopping mac attack arp attacks spanning tree attack doc: - https://www.blackhat.com/presentations/bh-usa-02/bh-us-02-convery-switches.pdf