Challenge forensic EPITA
EC2
SRS DNRED EPITA

Scénario

Attaque sur la supply chain logicielle

Hong J.,Okou A.,SAUVAGE N.

Après plusieurs mois de développement sans incident, la livraison d’une nouvelle version logicielle de KeePass provoque des retours alarmants : de nombreux utilisateurs rapportent que plusieurs de leurs comptes ont été compromis. Tous ces utilisateurs utilisaient cette version de KeePass. Rapidement, la suspicion se porte sur une possible compromission du processus de build.

En tant qu’auditeur en cybersécurité mandaté par ACME Solutions, votre mission est de comprendre comment un plugin VS Code non validé, installé sur une machine de compilation, a pu contaminer le logiciel final. Vous devrez analyser l’environnement de développement, identifier les failles du processus et proposer des recommandations afin de restaurer la confiance dans la chaîne de production.

LOG PLUGIN RÉSEAU
La confiance empoisonnée
11 pts PLUGIN LOG RÉSEAU

Analyse d’une compromission d’extension à partir de logs serveur. La cellule de sécurité a constaté une anomalie sur le serveur hébergeant la galerie d’extensions des développeurs de l’entreprise. Armé d’un fichier de log du serveur, votre tâche est de comprendre comment l’attaquant a pu compromettre l’une des extensions.
Malware.vsix
23 pts

Analyse d’une extension compromise et de son impact sur le processus de build. Suite à la récupération de l’extension infectée, vous êtes désormais chargé d’analyser cette version compromise. Votre objectif est de déterminer si cette extension contient une charge malveillante et de reconstituer les étapes ayant permis à celle-ci de s’intégrer au processus de build. Vos conclusions permettront d’identifier les risques potentiels pour la chaîne de production et de renforcer la sécurité de l’environnement.
Les empreintes système
47 pts

À partir d’un dump système, identifier des altérations d'un binaire et les mécanismes d’attaque associés. La recherche précédente n’ayant pas permis de confirmer la présence d’une charge malveillante, l’entreprise a pu fournir un dump des événements système capturés lors de l’un des builds suspects. Votre objectif est d’analyser ces événements afin d’identifier toute trace de modification du binaire final et de comprendre les mécanismes potentiellement mis en œuvre par l’attaquant.
KeePass.exe
95 pts

Analyse d’un binaire compromis et de ses mécanismes d’exfiltration. Vous avez désormais identifié le rôle joué par l’extension VS Code non validée dans la compromission du produit final déployé chez les clients, et ACME Solutions vous en félicite. Il vous reste toutefois à expliquer précisément le fonctionnement de l’application compromise. Pour cette dernière étape, vous ne disposez plus que du binaire suspect tel qu’il a été déployé chez les clients d’ACME Solutions. Mobilisez une dernière fois vos compétences d’auditeur afin de comprendre comment l’application permet l’exfiltration des identifiants utilisateurs tout en échappant aux mécanismes de détection du système.