Dans cet article nous allons explorer le déroulement pas à pas du challenge Forensic ‘I Warn You!’ proposé lors du CTF Cyber Africa Forum 2023.

Voici la consigne:

(1) what is the malware name detected by McAfee that was bonded in the exe? (2) Find out the established malicious connection ASN Owner name? Flag Format: CAF_{answer1_answer2} Note 1: Don’t run the exe file in your main machine. This is a malicious file and setted for the ctf task. Note 2: The format of the flag is not case sensitive

Voici le contenu du fichier du challenge: ici

Pour résoudre ce challenge nous allons utiliser Virustotal.com et les enregistrements whois de l’adresse IP que nous auront découverte.

En uploadant le fichier challenge_file.exe sur virustotal nous obtenons ce résultat:

Nous avons la première réponse qui est Artemis, il s’agit du nom du virus.

En nous redirigeant sur la rubrique BEHAVIOR de virustotal.com nous pouvons voir que la connexion malveillante est effectuée sur 20.99.133.109:443 (TCP).

Pour trouver le nom de l’AS (Autonomous System) qui gère cette hôte, nous allons utiliser arin.net, mais tout d’abord nous devons trouver l’ASN (Autonomous System Number) afin d’identifier l’AS, ce que nous allons faire avec Shodan.

ARIN est responsable de la gestion et de la distribution des adresses IP et des numéros d’AS (système autonome) pour les États-Unis, le Canada et les régions environnantes. Les adresses IP sont des identifiants numériques uniques attribués à chaque appareil connecté à Internet pour permettre la communication et l’échange de données.

Commençons, en fournissant l’adresse IP 20.99.133.109 à Shodan:

Lien Shodan: ici

Nous pouvons retrouver l’identifiant AS8075 qui va nous permettre de faire plus de recherches sur l’ASN.

En cherchant AS8075 sur whois.arin.net nous obtenons e résultat suivant:

La deuxième réponse est MICROSOFT-CORP-MSN-AS-BLOCK.

En respectant le format du flag demandé, on obtient:

CAF_{Artemis_MICROSOFT-CORP-MSN-AS-BLOCK}