ResolveMe

Enoncé

Notre NDR nous a remonté une alerte avec un tag basé sur une tactique MITRE Attaack “Exfiltration”. Par chance, j’ai réussi à dump la capture pcap depuis la console. Votre mission, si vous l’accepter est d’investiguer et de comprendre ce qui a bien pu se passer.

Solve

We have a pcap file, we open the file with wireshark

With wireshark file > export object > http > filename p4rt1

1
2
3
4

$ cat p4rt1

JVBERi0xLjYKJcOkw7zDtsOfCjIgMCBvYmoKPDwvTG
[...]

We have base64, with cyberchef we decode base64 and we end up with a pdf file

We just have to open the pdf to have the flag

Flag : MCTF{K1ND_3XF1LTR4T1ON_BAS3D_ON_DNS_PDF}