Description
Notre SoC a détecté qu’un document confidentiel avait été exfiltré ! La méthode utilisée ne semble pas avancée et heureusement, une capture réseau a pu être faite au bon moment… Retrouvez ce document.
Trouver la configuration de l’extraction
On commence cette épreuve par une capture réseau. Comme à chaque fois en matière d’exfiltration, il suffit de trouver un bout du filon pour le remonter complètement.
Fig 6: Configuration de l’exfiltration
|
|
Maintenant, on sait qu’on cherche un DOCX xoré de 4193 octets.
Récupérer la donnée chiffrée
On filtre donc sur les IP qui se sont échangées la configuration:
Fig 7: Exfiltration de la donnée
- data étant la donnée chiffrée.
- uuid l’identifiant du fichier extrait.
|
|
On a bien récupéré notre bouilli.
XOR time
On sait que c’est xoré, on sait aussi que c’est un DOCX donc en principe on peut faire du clair connu dessus. Maintenant, est ce que xortool
ne peux pas le faire tout seul comme un grand :
|
|
Fig 8: Donnée confidentielle récupérée
Flag
ECSC{v3ry_n01sy_3xf1ltr4t10n}