Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 13 au 15 juin 2018.

Challenge 2018

Présentation

From: marc.hassin@isofax.fr
To: j.raff@goeland-securite.fr

Bonjour,

Nous avons récemment découvert une activité suspecte sur notre réseau.
Heureusement pour nous, notre fine équipe responsable de la sécurité a
rapidement mis fin à la menace en éteignant immédiatement la machine. La menace
a disparu suite à cela, et une activité normale a pu être reprise sur la
machine infectée.

Malheureusement, nous avons été contraints par l'ANSSI d'enquêter sur cette
intrusion inopinée. Après analyse de la machine, il semblerait que l'outil
malveillant ne soit plus récupérable sur le disque. Toutefois, il a été
possible d'isoler les traces réseau correspondantes à l'intrusion ainsi qu'à
l'activité détectée.

Nous suspectons cette attaque d'être l'œuvre de l'Inadequation Group, ainsi
nommé du fait de ses optimisations d'algorithmes cryptographiques totalement
inadéquates.
Nous pensons donc qu'il est possible d'extraire la charge utile malveillante
depuis la trace réseau afin d'effectuer un « hack-back » pour leur faire
comprendre que ce n'était vraiment pas gentil de nous attaquer.

Votre mission, si vous l'acceptez, consiste donc à identifier le serveur hôte
utilisé pour l'attaque et de vous y introduire afin d'y récupérer,
probablement, une adresse e-mail, pour qu'on puisse les contacter et leur dire
de ne plus recommencer.

Merci de votre diligence,

Marc Hassin,
Cyber Enquêteur
Isofax SAS


Le défi consiste à analyser la compromission d'une machine depuis une capture réseau. Les traces laissées par les attaquants permettent de remonter jusqu'à leur serveur. Une adresse e-mail ( ...@challenge.sstic.org ) a été laissée sur ce serveur. À vous de la récupérer.

Pour participer au concours, il faut, une fois cette adresse trouvée :

Le challenge est disponible ici : challenge_SSTIC_2018.pcapng.gz


SHA256 : 076097cbc5d3a3bc20bc8393a988e9a31f83f7a08c8814752bd215d21f7e2202  challenge_SSTIC_2018.pcapng.gz


L'équipe d'organisation tient à rappeler qu'aucun matériel spécifique n'est nécessaire à la résolution du challenge.

Lots

Comme les années précédentes, deux classements seront établis, selon :

Des flags de validation intermédiaires sont présents dans le challenge. Il n'est pas nécessaire de tous les retrouver pour obtenir l'adresse e-mail de validation finale. Le classement rapidité ne tient pas compte des validations intermédiaires. En revanche, le classement qualité prendra en compte ces flags de validation, ainsi que l'élégance des solutions proposées.

Ainsi, même sans être dans les plus rapides, il est possible de gagner un lot en rédigeant une réponse claire, complète et détaillée. Les lots seront remis lors de la conférence, ou dès que possible en cas de problème d'approvisionnement. Les lots à gagner pour les trois premiers de chaque classement sont :

De plus, des places pour la conférence seront offertes aux premières places des classements rapidité et qualité. Les 2e et 3e places du classement rapidité auront droit à une place réservée.

Pour des raisons évidentes de calendrier, la place offerte au premier du classement qualité se fera sous forme d'un remboursement d'une place déjà acquise.

Les 10 premiers au classement rapidité remporteront des T-shirts Challenge SSTIC avec une phrase du style « Ça ne se voit peut-être pas, mais j'ai résolu le challenge SSTIC ! » :)

De plus, le gagnant du classement qualité présentera sa solution lors de la conférence.

Classements

Classement Rapidité

Position Date de validation Nom Date de la solution Solution
1. 05 avril 2018 à 21h49 David Bérard 20 avril 2018 à 17h44 SSTIC_2018_David_BERARD.pdf
2. 06 avril 2018 à 04h27 Nicolas Iooss 21 avril 2018 à 00h10 solution_Nicolas_Iooss.pdf
3. 06 avril 2018 à 06h15 Vincent Fargues 20 avril 2018 à 17h12 sstic_2018_vincent_fargues.pdf
4. 08 avril 2018 à 23h39 Brice Berna 25 avril 2018 à 09h35 sstic2018_berna.pdf
5. 09 avril 2018 à 22h53 Nicolas Surbayrole 23 avril 2018 à 23h52 sstic2018_surbayrole.pdf
6. 16 avril 2018 à 20h21 Norbert Muda 30 avril 2018 à 18h23 norber.muda.tgz
7. 17 avril 2018 à 00h50 Emilien Girault 27 avril 2018 à 11h00 solution-egirault.txt
8. 19 avril 2018 à 15h04 Martin Balc'h 07 mai 2018 à 14h43 sstic18.mbh.pdf
9. 19 avril 2018 à 17h04 Jeremy Buet 07 mai 2018 à 04h12 solution_Jeremy_Buet.pdf
10. 27 avril 2018 à 14h11 Jean-Bernard Beuque 11 mai 2018 à 19h41 ChallengeSSTIC_2018_solution_jbbeuque.pdf
11. 01 mai 2018 à 18h25 Pierre Bienaimé 16 mai 2018 à 16h40 sstic2018_bienaime.pdf
12. 14 mai 2018 à 20h29 Frisk0 26 mai 2018 à 19h53 sstic-frisk0.tgz
13. 23 mai 2018 à 10h01 1orenz0 29 mai 2018 à 21h31 1orenz0_sstic2018.pdf
14. 24 mai 2018 à 17h47 birdynam 30 mai 2018 à 21h24 birdynam_sstic2018.pdf
15. 27 mai 2018 à 00h24 0xMitsurugi 04 juin 2018 à 00h02 Mitsurugi.html
16. 31 mai 2018 à 00h13 Frédéric Perriot 31 mai 2018 à 00h13 fperriot.tgz

Classement Qualité

Position Nom Solution
1. Nicolas Iooss solution_Nicolas_Iooss.pdf
2. Frédéric Perriot fperriot.tgz
3. Brice Berna sstic2018_berna.pdf

Validations intermédiaires

Des flags sont disséminés dans les différentes étapes du challenge. Ils permettent, si vous le souhaitez, d'informer les organisateurs du challenge de votre progression. Les flags doivent être envoyés à l'adresse challenge2018@sstic.org pour apparaître dans le classement intermédiaire.

Tous les flags ont le même format : SSTIC2018{...}. Si vous pensez avoir trouvé un flag mais qu'il n'a pas ce format, c'est que ce n'en est pas un :)

Anomaly Detection

Date de validation Nom Date de validation2 Nom2
31 mars 2018 à 19h21 Brice Berna 06 avril 2018 à 10h17 Jean-Baptiste Thomas
31 mars 2018 à 19h55 Thomas Bailleux 06 avril 2018 à 11h02 Stéphane Jin
31 mars 2018 à 21h33 David Bérard 06 avril 2018 à 11h36 Paul Daher
31 mars 2018 à 23h22 Vincent Fargues 06 avril 2018 à 17h51 PAF
31 mars 2018 à 23h46 Pierre Bienaimé 06 avril 2018 à 21h18 Jean-Bernard Beuque
31 mars 2018 à 23h56 Martin Balc'h 06 avril 2018 à 21h24 Simon Maréchal
01 avril 2018 à 08h16 kerial 07 avril 2018 à 00h07 Maxime Roy
01 avril 2018 à 13h34 Théo Letailleur 07 avril 2018 à 14h30 Maxime Lassus-Pomes
01 avril 2018 à 14h31 1orenz0 07 avril 2018 à 14h58 Axel Tillequin
01 avril 2018 à 14h57 Émilien Girault 07 avril 2018 à 16h54 François Laplaud
01 avril 2018 à 15h55 Laurent Laubin 07 avril 2018 à 20h53 Delphine Thibaut
01 avril 2018 à 16h25 Nicolas Surbayrole 07 avril 2018 à 22h27 Ayman Khamouma
01 avril 2018 à 17h40 François Pollet 07 avril 2018 à 23h39 Rado
01 avril 2018 à 17h56 n0ctx 08 avril 2018 à 00h32 Bertrand Danos
01 avril 2018 à 18h26 Gwendal Stevanazzi 08 avril 2018 à 01h21 Cyril Leclerc
01 avril 2018 à 20h00 Jean-Côme Estienney 08 avril 2018 à 15h16 Martin Meyer
01 avril 2018 à 23h42 Nicolas Iooss 08 avril 2018 à 22h13 Maxime Meignan
02 avril 2018 à 00h13 Mahdi Braik 09 avril 2018 à 01h38 Mona Arouane
02 avril 2018 à 00h57 Florent Vuillemin 09 avril 2018 à 09h17 peio
02 avril 2018 à 01h22 François Manach 09 avril 2018 à 10h05 Quentin Barbe
02 avril 2018 à 02h52 Philippe-Anselme Foury 09 avril 2018 à 13h08 Christophe Darblay
02 avril 2018 à 13h38 Erwan Loaec 09 avril 2018 à 16h06 Julien Eyriès
02 avril 2018 à 14h15 rico 10 avril 2018 à 01h35 Pierre Zurek
02 avril 2018 à 16h23 Antide Petit 10 avril 2018 à 23h44 Anthony Rullier
02 avril 2018 à 19h12 Antoine Breton 11 avril 2018 à 09h42 Samuele De Francesco
03 avril 2018 à 05h11 phLaul 11 avril 2018 à 14h42 ice_masters
03 avril 2018 à 05h27 Peter Garba 12 avril 2018 à 00h14 Benjamin Piot
03 avril 2018 à 11h14 SIben 17 avril 2018 à 12h34 Vincent Carruba
03 avril 2018 à 11h21 Roman Rohleder 17 avril 2018 à 12h48 Julien Lancia
03 avril 2018 à 13h45 Vincent Dagonneau 19 avril 2018 à 17h04 Jeremy Buet
03 avril 2018 à 20h01 Marin M. 21 avril 2018 à 00h40 Yanni Szijj
03 avril 2018 à 20h08 Teddy Michel 22 avril 2018 à 13h35 Adriaan D.
03 avril 2018 à 20h43 Pascal Haupet 22 avril 2018 à 17h22 benjaminr
03 avril 2018 à 20h51 notfound404 25 avril 2018 à 19h13 Manu D.
03 avril 2018 à 22h09 Aurélien Deharbe 29 avril 2018 à 21h37 jj
04 avril 2018 à 06h42 birdynam 02 mai 2018 à 09h54 0xMitsurugi
04 avril 2018 à 12h08 Jean-Baptiste Cayrou 06 mai 2018 à 17h22 Frédérique Dauvillaire
04 avril 2018 à 15h40 Mathieu Rousse 18 mai 2018 à 00h03 Luc Anzad
05 avril 2018 à 11h19 Simon Peraudeau
05 avril 2018 à 13h54 Loïc Minier
05 avril 2018 à 15h50 Tristan Pourcelot
05 avril 2018 à 15h54 Shengru Zhang
05 avril 2018 à 17h08 Frisk0
06 avril 2018 à 00h09 Damien Cauquil
06 avril 2018 à 00h23 Timothée Cocault

Disruptive JavaScript

Date de validation Nom
01 avril 2018 à 14h31 1orenz0
01 avril 2018 à 21h23 Brice Berna
02 avril 2018 à 08h06 Nicolas Iooss
02 avril 2018 à 10h19 David Bérard
02 avril 2018 à 13h39 Vincent Fargues
02 avril 2018 à 22h53 Laurent Laubin
03 avril 2018 à 23h42 Émilien Girault
04 avril 2018 à 00h02 Frédéric Perriot
04 avril 2018 à 11h56 Norbert Muda
04 avril 2018 à 12h52 Nicolas Surbayrole
04 avril 2018 à 23h53 Peter Garba
05 avril 2018 à 10h45 Aurelien Deharbe
05 avril 2018 à 17h25 Thomas Bailleux
05 avril 2018 à 20h25 Mahdi Braik
06 avril 2018 à 00h15 Marin M.
06 avril 2018 à 00h23 Timothée Cocault
06 avril 2018 à 02h07 Acfa Cbda
06 avril 2018 à 13h33 Frisk0
06 avril 2018 à 21h18 Jean-Bernard Beuque
07 avril 2018 à 00h02 Martin Balc'h
07 avril 2018 à 01h03 Jeremy Buet
07 avril 2018 à 14h35 Simon Maréchal
08 avril 2018 à 21h57 Axel Tillequin
08 avril 2018 à 22h13 Maxime Meignan
09 avril 2018 à 01h38 Mona Arouane
09 avril 2018 à 22h28 Pierre Bienaimé
10 avril 2018 à 01h35 Pierre Zurek
11 avril 2018 à 09h42 Samuele De Francesco
11 avril 2018 à 18h44 François Pollet
12 avril 2018 à 12h03 Damien Cauquil
12 avril 2018 à 22h28 Paul Daher
13 avril 2018 à 09h35 Paul Fariello
13 avril 2018 à 10h17 Jean-Baptiste Cayrou
15 avril 2018 à 20h28 birdynam
15 avril 2018 à 22h16 Tristan Pourcelot
15 avril 2018 à 22h22 Gwendal Stevanazzi
16 avril 2018 à 13h31 ice_masters
16 avril 2018 à 21h39 notfound404
23 avril 2018 à 17h21 kerial
24 avril 2018 à 11h17 Julien Lancia
25 avril 2018 à 20h07 Pascal Haupet
27 avril 2018 à 11h06 Stéphane Jin
27 avril 2018 à 12h07 Jean-Baptiste Thomas
28 avril 2018 à 07h55 Jean-Côme Estienney
02 mai 2018 à 09h54 0xMitsurugi
05 mai 2018 à 12h18 benjaminr
09 mai 2018 à 18h07 jj
15 mai 2018 à 16h13 Julien Eyriès

Battle-tested Encryption

Date de validation Nom
02 avril 2018 à 14h13 Nicolas Iooss
02 avril 2018 à 21h53 David Bérard
03 avril 2018 à 08h27 Vincent Fargues
04 avril 2018 à 01h27 Brice Berna
05 avril 2018 à 01h42 Norbert Muda
06 avril 2018 à 23h01 Nicolas Surbayrole
07 avril 2018 à 12h52 Marin M.
08 avril 2018 à 11h09 Jeremy Buet
08 avril 2018 à 17h44 Mahdi Braik
08 avril 2018 à 22h13 Maxime Meignan
09 avril 2018 à 10h23 Emilien Girault
09 avril 2018 à 18h47 Thomas Bailleux
09 avril 2018 à 23h21 Frédéric Perriot
10 avril 2018 à 19h23 Jean-Bernard Beuque
10 avril 2018 à 23h27 Martin Balc'h
13 avril 2018 à 09h04 Simon Marechal
13 avril 2018 à 22h36 Frisk0
16 avril 2018 à 01h58 Pierre Zurek
16 avril 2018 à 21h31 Aurélien Deharbe
19 avril 2018 à 15h35 Jean-Baptiste Cayrou
20 avril 2018 à 20h26 Tristan Pourcelot
21 avril 2018 à 13h34 Pierre Bienaimé
22 avril 2018 à 14h52 Timothée Cocault
29 avril 2018 à 02h18 Laurent Laubin
30 avril 2018 à 08h46 ice_masters
02 mai 2018 à 09h54 0xMitsurugi
02 mai 2018 à 16h21 birdynam
05 mai 2018 à 15h47 Axel Tillequin
06 mai 2018 à 16h41 1orenz0
10 mai 2018 à 00h31 Julien Lancia
18 mai 2018 à 16h11 Jean-Baptiste Thomas
25 mai 2018 à 09h21 Jean-Côme Estienney
25 mai 2018 à 09h52 Stéphane Jin
29 mai 2018 à 09h20 Paul Fariello
29 mai 2018 à 21h29 kerial
30 mai 2018 à 21h51 Gwendal Stevanazzi

Nation-state Level Botnet

Aucune attaque par bruteforce n'est nécessaire pour résoudre cette épreuve.

Date de validation Nom
05 avril 2018 à 21h49 David Bérard
06 avril 2018 à 04h27 Nicolas Iooss
06 avril 2018 à 06h15 Vincent Fargues
08 avril 2018 à 23h39 Brice Berna
09 avril 2018 à 22h53 Nicolas Surbayrole
16 avril 2018 à 20h21 Norbert Muda
17 avril 2018 à 00h50 Emilien Girault
19 avril 2018 à 15h04 Martin Balc'h
19 avril 2018 à 17h04 Jeremy Buet
27 avril 2018 à 14h11 Jean-Bernard Beuque
01 mai 2018 à 18h25 Pierre Bienaimé
14 mai 2018 à 20h29 Frisk0
23 mai 2018 à 10h01 1orenz0
24 mai 2018 à 17h47 birdynam
27 mai 2018 à 00h24 0xMitsurugi
31 mai 2018 à 00h13 Frédéric Perriot

Règlement

  1. Le concours est ouvert à tous, à l'exception des membres des comités d'organisation et de programme de SSTIC 2018, ainsi que le personnel des équipes des créateurs du challenge :
    • Synacktiv
    • Quarkslab
    • Oppida
  2. Pour gagner, les participants doivent trouver une adresse ( ...@challenge.sstic.org ) et envoyer un courrier électronique à cette adresse, puis envoyer une solution dans les quinze jours.
  3. Cette réponse devra être rédigée en français et aussi détaillée que possible. Elle précisera les problématiques techniques du défi ainsi que la démarche et les outils utilisés pour les résoudre.
  4. Les réponses seront évaluées par un jury constitué des concepteurs du challenge et du comité d'organisation du SSTIC.
  5. La date de clôture du concours est le dimanche 3 juin.
  6. Un même participant peut gagner plusieurs lots, un par classement.
  7. Les participations sont individuelles, le concours n'est pas ouvert aux équipes. Néanmoins, l'appel à un ami est autorisé.
  8. En prenant part au concours, les participants donnent tacitement leur accord pour la publication de leur réponse sur le site du SSTIC, associée à leur nom ou pseudonyme.
  9. Pour la remise des lots, les gagnants devront fournir leur identité à l'association SSTIC.
  10. Si le nombre de réponses valides est inférieur à trois, le concours pourra être prolongé.

Contact

Pour toute question, merci de contacter challenge2018@sstic.org.

Root