Comme dans de nombreuses attaques, ce fichier malicieux a été transmis dans un courriel à un utilisateur. À vous d’investiguer et de trouver le secret qu’il cache.
Découverte du fichier
On a un fichier WORD de 16K.
file challenge_dropper.docx && du -h challenge_dropper.docx
challenge_dropper.docx: Microsoft OOXML
16K challenge_dropper.docx
Je vérifie le contenu du fichier sans l'ouvrir en cherchant des magicnumber via foremost :
onosh@labrioche:$ foremost -i challenge_dropper.docx
Processing: challenge_dropper.docx
|*|
onosh@labrioche:$ cat output/audit.txt
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File
Foremost started at Wed Apr 6 10:11:35 2022
Invocation: foremost -i challenge_dropper.docx
Output directory: /mnt/v/APSSI/output
Configuration file: /etc/foremost.conf
------------------------------------------------------------------
File: challenge_dropper.docx
Start: Wed Apr 6 10:11:35 2022
Length: 13 KB (13476 bytes)
Num Name (bs=512) Size File Offset Comment
0: 00000000.zip 13 KB 0
Finish: Wed Apr 6 10:11:35 2022
1 FILES EXTRACTED
zip:= 1
------------------------------------------------------------------
Foremost finished at Wed Apr 6 10:11:35 2022
Foremost trouve un fichier zip, qui est en réalité le document word avec l'ensemble des éléments qu'il contient :