Redline Info Category : Digital Forensics SHA1SUM : 7c54f50cefed2e2a8947368c0de41bbb665fe483 Published : June 2, 2023 Author : Ahmed Tammam Size : 839 MB Tags : Volatility NIDS Network Intrusion Detection System Uncompress the challenge (pass: cyberdefenders.org) Scenario As a member of the Security Blue team, your assignment is to analyze a memory dump using Redline and Volatility tools. Your goal is to trace the steps taken by the attacker on the compromised machine and determine how they managed to bypass the Network Intrusion Detection System “NIDS”.

Insider Info Category : Digital Forensics SHA1SUM : d820264d825fdaeb2146bf7b4c4e03684e700007 Published : May 25, 2021 Author : Champlain College Size : 83 MB Tags : Disk Linux FTK Kali Uncompress the challenge (pass: cyberdefenders.org) Scenario After Karen started working for ‘TAAUSAI,’ she began to do some illegal activities inside the company. ‘TAAUSAI’ hired you as a soc analyst to kick off an investigation on this case. You acquired a disk image and found that Karen uses Linux OS on her machine.

Bucket Info Category : Digital Forensics SHA1SUM : fb393619f09c8e9d7272f305329601645e5aa952 Published : Dec. 7, 2021 Author : Scott Piper Size : 356 Bytes Tags : AWS cloud IR ’log analysis' Unzip the challenge (pass: cyberdefenders.org) Instructions Use the provided credentials to access AWS cloud trail logs and Réponse the questions. Scenario Welcome, Defender! As a soc analyst, we’re granting you access to the AWS account called “Security” as an IAM user. This account contains a copy of the logs during the time period of the incident and has the ability to assume the “Security” role in the target account so you can look around to spot the misconfigurations that allowed for this attack to happen.

APT Style Catégorie : forensics Description générale pour la série En tant que RSSI, vous anticipez ~ tardivement ~ la migration des postes utilisateur de votre parc vers Windows 10. Pour ce faire, vous demandez à l’un de vos collaborateurs de préparer un ISO d’installation et, devant l’importance de l’innocuité de ce média d’installation, vous décidez de le tester. Vous observez d’étranges comportements sur la machine fraîchement installée… Vous décidez alors de décortiquer cet ISO, afin de comprendre d’où viennent ces comportements.

La gazette de Windows Catégorie : Intro - forensics Énoncé Il semblerait qu’un utilisateur exécute des scripts Powershell suspects sur sa machine. Heureusement cette machine est journalisée et nous avons pu récupérer le journal d’évènements Powershell. Retrouvez ce qui a été envoyé à l’attaquant. SHA256(Microsoft-Windows-PowerShell%4Operational.evtx) = 770b92f7c98ffb708c3e364753ee4bb569ccc810dd5891cbaf1363c2063ddd78 Solve On verifie l’intégrité du fichier de log : 1 2 3 sha256sum Microsoft-Windows-PowerShell4Operational.evtx | grep 770b92f7c98ffb708c3e364753ee4bb569ccc810dd5891cbaf1363c2063ddd78 770b92f7c98ffb708c3e364753ee4bb569ccc810dd5891cbaf1363c2063ddd78 Microsoft-Windows-PowerShell4Operational.evtx On va utiliser l’outil evtx pour parser les .

Merci à Abyss W4tcher pour son script install de volatility qui permet d’exécuter volatility dans un docker. Ransomémoire Catégorie : forensics Ransomémoire 0/3 - Pour commencer Difficulté : ⭐ Énoncé Vous vous préparez à analyser une capture mémoire et vous notez quelques informations sur la machine avant de plonger dans l’analyse : nom d’utilisateur, nom de la machine, navigateur utilisé. Le flag est au format FCSC{<nom d’utilisateur>::} où :