Challenge forensic EPITA
EC2
SRS DNRED EPITA

Scénario

Le Timonier Fantôme d'EXE

Bilal-Rayane M., Nolan D., Louca G., Rayan C., Gabin R., Robin V.

Depuis quelques jours, un employé d’EXE, une entreprise d’assurance, remarque un comportement étrange sur son poste de travail :
des fenêtres noires s’ouvrent et se ferment rapidement sans raison apparente.

Inquiet, il contacte le service informatique, qui escalade l’incident à l’équipe sécurité. Les experts soupçonnent que la machine a pu être compromise.

Vous allez donc tenter de reconstituer les événements sur le poste de l’employé et comprendre l’origine de ces anomalies.

ACTIVE DIRECTORY DUMP KUBERNETES LOGS REVERSE
Arrête-moi si tu peux
11 pts ACTIVE DIRECTORY LOGS

Nous savons que des actions inhabituelles ont été réalisées sur le compte de l’employé, et nous cherchons à déterminer leur origine.
Import-ant Binaire suspect
23 pts REVERSE

Un binaire inconnu a été exécuté, probablement transféré depuis le périphérique précédent, et son rôle exact reste à déterminer.
Souvenirs Suspects
47 pts DUMP REVERSE

Afin de poursuivre l’investigation sur le poste compromis, un dump mémoire complet de la machine a été collecté pour analyse.
Orchestration Diabolique
95 pts KUBERNETES

Un cluster kubernetes de l'entreprise a signalé une forte augmentation de la consommation de ses ressources, l'événement intervient bizarrement peu de temps après les précédents.