---
title: FIC 1
tags: FIC
---
# Rootkit: Contexte du scénario
Il y a quelques mois, plusieurs membres de la boite Poire comprenant les RSSI, administrateur du système d'information et autres salariés ont été invités à une conférence d'un de leurs principaux partenaires commerciaux de matériels informatiques. Lors de cette conférence, des goodies clés USB ont été distribués par le partenaire. Malheureusement ces dernières ont été laissé sans surveillances et ont pu être remplacées par des clés USB corrompues contenant le programme malveillant. Ces clés USB ont pour but d'exfiltrer des données.
## Pourquoi ces attaques ont lieu ?
Depuis quelques années/Recemment, l'entreprise Poire a fait monter son chiffre d'affaires de manière importante grâce à la création et mise en vente de nouveaux téléphones futuristes. Ils ont récemment annoncé qu'ils avaient plusieurs nouvelles idées en tête pour continuer à faire monter leur chiffre d'affaires. Une entreprise concurrente, MaléFIC, cherche à voler ces informations.
Pourquoi? :
- Appat du gain
- Déstabiliser l’entreprise Poire
- Faciliter la croissance de l'entreprise concurrente MaléFIC.
## Que ciblent-elles concrètement ?
L'attaque cible la méthode de conception des nouveaux téléphones, les brevets déposés, les potentielles failles répertoriées sur les téléphones, des projets à venir. On peut supposer aussi que ces attaques ont lieu pour déstabiliser l'entreprise Poire et les ralentir dans leur essor.
Cible:
- employée (RSSI, administrateurs, employés lambda)
- Infrastructure
> Pour cela les cibles qui doivent être porteur de cette attaque sont les employés de la boite: les administrateurs, les RSSI, les employers lambdas.
## Quels impacts ?
Les impacts:
- impact economique pour l'entreprise ciblé
- ralentissement de l'essor de l'entreprise.
- attaque sur des données confidentielles
# Schémas
# Défis
## Scénario générale
La boîte Poire s'est rendu compte qu'une entreprise concurrente à sortie un nouveau téléphone très proche voire quasimment identique aux idées qu'ils avaient pour leur prochain téléphone. Ils pensent qu'une Fuite de données a eu lieu.
## Niveau 1
### Explication
Un employé de la boite Poire a utilisé la clé USB infectée fournit pendant la conférence sur son ordinateur professionnel. Ce qui a permit l'infection de son ordinateur sans que l'utilisateur ne s'en rende compte.
L'objectif du premier scénario est de comprendre comment l'attaquant s'est introduit. Le participant doit comprendre qu’il va devoir faire face a un logiciel qui s'est introduit par clé USB.
### Scénario vision participant
L'administrateur du réseau de Poire a fait appel à vous. Il vous a fournit plusieurs images de machines sur lesquelles il pense qu'il y'ai possibilité de leak.
### Moments forts
Un des logs contient des traces de la clé USB qui a ete vecteur de l'infection.
### Liens
## Niveau 2
### Explication
Grâce a sa connection sur le réseau l'attaquant vas récuperer les adresses MAC et IP de machines ayant des droits assez élévé pour récupérer les informations recherchées.
Les participants doivent comprendre comment l'attaquant a parcouru le réseau de l'entreprise. Ce que l'attaquant a fait a partir de la machine souche infecté.
### Scénario vision participant
> Vous avez trouvé la machine qui a été infecté. Vous devez maintenant analyser la machine pour trouver la cause de la fuite de donnée.
Vous devez maintenant utiliser les informations récuperé dans l'exercice precedent pour trouver la cause de la fuite de donnée.
### Moments forts
À l'aide de Wireshark, les participants doivent trouver l'IP et/ou les communications qui montrent une fuite de données.
### Lien
## Niveau 3
### Explication
L'attaquant tente de mettre en place un MitM sur la machine a droit plus élévé qu'il a trouvé. Il tente d'écouter et de récuperer des données intéressantes sans se faire trop remarquer.
### Scénario vision participant
Le participant connait maintenant sur depuis quel machine l'attaquant a écouté ce qui se passe sur le réseau. L'objectif est de maintenant trouvé comment l'attaque MitM a était mise en place et quels ont étaient les machines écoutés
### Moments forts
Addresse MAC, protocole utilisé pour réaliser l'attaque, protocole pour les leak
> le participant réalise qu'il y'a eu MitM
> le participant comprend sur quelle machine le MitM a eu lieu
> le participant sait quelle machine a ete ecoute
> le participant sait ce qui a fuité.
### Lien
## Niveau 4
### Explication
L'attaquant après l'attaque MitM, tente une escalation de privilèges sur le serveur de fichier pour accéder aux fichier sensible.
### Scénario vision participant
Vous savez sur quelle machine a été volé les données vous allez maintenant découvrir comment l'attaquant a réussi a gagner en privilèges pour accéder a ces données.
### Moments forts
- analyse de la configuration du serveur du fichier
### Lien
## Niveau 5
### Explication
>Vous avez trouver le programme ainsi que compris son origine et son cheminement. Vous devez maintenant comprendre le programme pour savoir comment les données ont ete exfiltré.
>Le participant a trouvé l'image du programme qui a été supprimé et connait son origine: la clé usb. Il doit maintenant reconstruire le fichier.
Le but de cet exercice serait de faire du reverse-engineering pour comprendre l'integralité du programme. C'est donc une analyse du malware pour trouver des informations et les méthodes d'attaques.
### Scénario vision participant
> Maintenant que le participant connait la machine infecté et sait quelle modifications ont été apportées sur la machine.
### Moments forts
- comprehension de la complexite/construction du rootkit (modules)
### Lien
Sign in with Wallet
Connect another wallet