# 🎯 THE GREAT HEIST - CTF Challenge
📖 STEP 3: SHADOW OPS
Durata: 1 ora
🕵️ SCENARIO
L'analisi della rete ha rivelato l'entità della compromissione, ma ora è il momento di guardare più da vicino. L'indagine si sposta sulla workstation di Marco Byte (WKSTN-MBYTE-01), il punto di ingresso dell'attaccante.
Durante la prima scansione, il team forense ha fatto una scoperta sorprendente: nessun malware rilevato. I sistemi antivirus e EDR sono muti. Sembra che l'attaccante abbia operato nell'ombra, utilizzando esclusivamente software legittimi e strumenti già presenti nel sistema operativo per condurre il suo attacco. Questa tecnica è nota come "Living Off The Land" (LOLBins).
La tua missione è analizzare un'immagine del disco della macchina compromessa per trovare le tracce lasciate dall'attaccante. Scopri quali strumenti ha usato, come ha mantenuto la persistenza e quali artefatti ha lasciato dietro di sé.
📥 CYBER KIT
Per questa fase, hai a disposizione un caso autopsy relativo al disco dell'entrypoint individuato:
**lo trovi nella prima challenge`
🎯 MISSION
- [ ] Identificare i software legittimi usati per accesso remoto ed esfiltrazione.
- [ ] Analizzare gli script e i comandi eseguiti per ricostruire le azioni dell'attaccante.
- [ ] Scoprire il meccanismo di persistenza utilizzato per mantenere l'accesso.
- [ ] Recuperare credenziali e altri dati sensibili compromessi sulla macchina.
Questa non è una caccia al malware, ma una caccia ai fantasmi. Buona fortuna, investigatore.