Desafio 10 — A Linha do Tempo Difícil · 300pts
Um crime cibernético ocorreu. Você recebeu 4 artefatos digitais coletados pelos peritos.
Correlacione tudo e reconstrua a linha do tempo completa do incidente.
💡 Dica: Ordene os eventos por timestamp. O hash MD5 prova que o arquivo foi adulterado.
Artefato 1 — Log de Acesso Web
2024-06-12 03:01:44 | 185.220.101.47 | GET /admin/login | 200
2024-06-12 03:01:45 | 185.220.101.47 | POST /admin/login | 302 → /admin/dashboard
2024-06-12 03:02:10 | 185.220.101.47 | GET /admin/users/export | 200 | 48.3KB
2024-06-12 03:02:44 | 185.220.101.47 | POST /admin/upload | 200 | webshell.php
2024-06-12 03:03:01 | 185.220.101.47 | GET /uploads/webshell.php?cmd=id | 200
Artefato 2 — Metadados do Arquivo Exfiltrado
Arquivo: usuarios_sistema.csv
Tamanho: 48.312 bytes
MD5 original (backup): a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6
MD5 após incidente: f6e5d4c3b2a1f0e9d8c7b6a5f4e3d2c1
Data de criação: 2024-01-15 09:00:00
Data de modificação: 2024-06-12 03:02:10 ← (horário do acesso suspeito)
Artefato 3 — Imagem da Tela (screenshot forense)
⬇ Baixar screenshot_forense.jpg
Analise os metadados EXIF para confirmar o timestamp.
Artefato 4 — Trecho do Relatório de Rede (PCAP summary)
Sessão TCP: 185.220.101.47:54999 → 200.198.50.10:80
Início: 2024-06-12 03:01:43
Fim: 2024-06-12 03:04:22
Bytes transferidos: 49.847 bytes (upload para exterior)
Protocolo: HTTP (sem criptografia)
Destino resolvido: exfil.attacker-c2.net
Pergunta: Com base nos 4 artefatos:
1. Em que horário o atacante obteve acesso ao painel admin?
2. O arquivo foi modificado? Como você prova?
3. Para onde os dados foram exfiltrados?
A flag está nos comentários do Artefato 4.