Catégorie: Forensic - Difficulté: Moyen

Description:

Solution:

Pour ce challenge, nous avions à disposition une archive contenant des fichiers de log et des dump de la machine de la victime. Nous savons que la machine infectée était un cluster Kubernetes contenant les créations personnelles dérobées par le pirate.

Maintenant il faut donc analyser les fichiers pour en extraire des infos importantes à notre enquête. Après analyse des différents fichiers, nous avons différents types de fichier dont un .log, des .dump, un fichier .tar regroupant quelques dossiers racines du Kubernetes et un fichier .LogPath dont nous ignorons son format :

En analysant les différents fichiers et le contenu de l'archive .tar nous ne trouvons rien de vraiment intéressant, sauf dans le fichier io.kubernetes.cri-o.LogPath qui contient ce qui a été exécuté sur (ou en arrière plan) de la machine :

Nous pouvons voir beaucoup de choses intéressantes, comme l'installation d'outil ou la mise à jour de la machine... Mais ce qu'il y a de plus intéressant se trouve vers la fin du fichier (lignes 1271 à 1314) avec ceci :

Nous comprenons qu'il va chercher quelque chose sur cette URL : https://agent.challenges.404ctf.fr et qu'il enregistre cela dans un fichier .zip nommé agent.zip.

Lorsque nous nous rendons sur cette URL, un fichier agent.zip est directement téléchargé. Nous allons donc voir ce qu'il contient :

Il contient un fichier agent (un ELF) et un fichier flag.txt qui est surement très intéressant. Voyons donc son contenu :

Nous avons donc le flag et le fichier action (ELF) nous servira surement dans la partie 2/2 (reverse)

404CTF{K8S_checkpoints_utile_pour_le_forensic}