Challenge forensic EPITA
EC2
SRS DNRED EPITA

Scénario

Hydrotech - Vengeance d'un employé

M.Aharouni, C.Belloni, J.Blassiau, A.Corcione, S.Perrier, M.Trouiller

HydroTech – Sabotage interne

Quand l’eau devient source de chaos…

HydroTech, entreprise spécialisée dans la supervision de stations de pompage, a vu ses infrastructures basculer dans le désordre : plusieurs serveurs de supervision se sont subitement arrêtés, rendant impossible la gestion à distance de sites critiques.

Les premières constatations

L’incident provient de l’intérieur : un employé toujours en poste semble avoir utilisé des accès non autorisés.

Un binaire persistant est découvert sur un serveur, neutralisant automatiquement les processus de supervision.

Votre mission :

  • Menez l’enquête numérique pour :

  • Identifier l’auteur interne et ses tentatives d’accès.

  • Découvrir le binaire malveillant et son mécanisme de persistance.
  • Comprendre comment la faille réseau a permis sa propagation.
  • Analyser le sabotage et désactiver le service incriminé.
DHCP EVTX FORENSIC LINUX LOG ANALYSIS MEMORY
Identification de l'attaquant
11 pts EVTX LOG ANALYSIS DHCP

## L'ombre dans les journaux
Analyse du PC Admin
23 pts FORENSIC MEMORY LINUX

**L'employé malveillant a laissé des traces compromettantes dans la mémoire de sa machine.**
Elévation de privilèges
47 pts

Nous savons maintenant que l'attaquant a eu accès au PC d'un administrateur. Nous pensons qu'il a pu compromettre un de nos serveurs. Votre mission est de repérer dans des logs pare-feu et dans le dump simplifié d'un de nos serveurs ce que l'attaquant a pu faire. ## Objectif de la mission: - Identifier le moyen utilisé par l'attaquant pour effectuer des téléchargements depuis un serveur interne - Repérer les URL/ressources téléchargées - Déterminer la nature de la tentative d'exploitation et ses conséquences: CVE visée, binaire compromis, fonction exploitée et moment où l'attaquant a obtenu des privilèges élevés
Pompes défectueuses
95 pts

Une infrastructure SCADA pilote des pompes via Modbus/TCP. Depuis peu, certaines pompes redémarrent régulièrement et la supervision perd partiellement le contrôle. Les indices indiquent l'injection malveillante d'un bloc de configuration chiffré envoyé aux automates (PLC).