Alice_In_Rans0ml4nd
Flag: ECW{f68ba371b5fc66c802207b9bedd0838af9d6d7a46085765425d89f80f558b3f9}
Challenge
Description
You are urgently contacted by Alice-Corp, a company specialized in developing technological solutions. Our server as well as all workstations connected to our Active Directory have suddenly been encrypted. The Alice-Corp network team managed to capture part of the network traffic. As a forensic investigator, you must analyze this file to find the following items.
The email address used by the attacker (format: [email protected])
The email address targeted within the company (format: [email protected])
The MD5 hash of the first malware
The domain name contacted to download a script
The password used to connect to the server
The name of the scheduled task that was executed
The domain name (in lowercase) contacted by the script to download the second malware
The MD5 hash of the malware present on the server
The domain name used for data exfiltration
The name of the ransomware gang (in lowercase)
The cryptocurrency wallet address used by the attackers
The final flag contained in a file exfiltrated by the malware
Example:
echo -n "[email protected]:[email protected]:5d41402abc4b2a76b9719d911017c592:example.com:123456789:ImAtask:example.com:5d41402abc4b2a76b9719d911017c592:example.com:black-cat:84EgZVjXKF4d1JkEhZSxm4LQQEx64AvqQEwkvWPtHEb5JMrB1Y86y1vCPSCiXsKzbfS9x8vCpx3gVgPaHCpobPYqQzANTnC:fin4l_flag" | sha256sum
ECW{72b6de81f96018ee4df492ff6fa84ccccc0211919f64a7cca474fb33659e9c49}Disclaimer The PCAP file provided in this challenge contains real or simulated malicious payloads (such as executables, scripts, or infected files transferred over the network). Use an isolated environment
Archive password : 1_C0ns3nt_;)
Challenge made by Insomnia from :
Solution
Beaucoup d'informations à récupérer, il faut y aller étape par étape.
[1-2] Emails
Dans le PCAP, on peut trouver un mail en clair.
On a déjà les deux premières infos demandées :
[3] Premier malware
Le mail contient un lien dropbox, il suffit d'aller récupérer le contenu mais attention à la petite subtilité : les mails utilisent parfois l'encodage Quoted-Printable. Il faut donc le décoder avant de l'utiliser.
Maintenant il faut ouvrir le zip. Pour ça on va bruteforce le mot de passe avec johntheripper.
Le mot de passe est donc !!Miley24$$. On peut ouvrir le zip et calculer le md5 du malware.
8d8b36683ed095a7eebe4e8c70141bfc
[4-5-6-7] Script malveillant
Continuons l'analyse du PCAP. Après le téléchargement du malware par la victime, on voit une requête sur http://ykfqaqa.ru:8000/deploy-malware.ps1.
Ca renvoie un script PowerShell :
Il suffit de ne pas appeler la dernière ligne et regarder ce qui a été "déchiffré" dans $z2. On obtiens :
On apprend pleins d'informations :
ykfqaqa.ruadmin123sY*-+DontTouchMesusqouh.ru
[8-10-11] Second Malware
On peut aller le récupérer via l'exportation des objets HTTP de WireShark :
Sans aller jusqu'à la décompilation, on peut prendre de l'information en regardant les chaînes de caractères dans le malware. Et on tombe très rapidemment sur un message clair.
5d820e7bbb4e4bc266629cadfa474365
Et
sphinxlock84N2hXaVqgS5DzA1FpkGuD98Ex2cVXH6k8RwZ7PmUz1oBY9X6GZYMT3WJYkfY9AdELNH2tsBrxJZcdkLkJxYH5RZ73XKbPq
[9-12] Exfiltration
Plus tard dans le PCAP, on trouve pas mal de requêtes DNS étranges vers le domaine yinxuqab.ru :
Les sous-domaines utilisés sont toujours de la forme :
file<X>-<Y>-<HEX>.yinxuqab.ru
file<X>-complete.yinxuqab.ru
id<X>-<HEX>.yinxuqab.ru
id<X>-complete.yinxuqab.ru
key-<X>-<HEX>.yinxuqab.ru
key-complet.yinxuqab.ru
Là, soit c'est de l'intuition (parce que assez logique), soit il faut reverse l'exe, soit se rendre sur virus-total pour voir les analyses existantes mais en gros :
Le fichier est découpé en bloc de 20 bytes puis mis en hexa.
Le X du premier type de requête correspond au fichier, le Y au numéro du bloc.
La clé est envoyé en 2 paquets, un avec 20 bytes et l'autres 16, donc une clé de 32 bytes.
Petit script python pour récupérer toutes ces valeurs et déchiffrer le fichier exfiltré :
Une fois réassemblé, ça nous donne :
Maintenant, on peut soit demander à un LLM de faire plein de test, soit avoir la bonne intuition : c'est de l'AES-GCM car le plus utilisé (rip chacha20).
Ce qui nous donne pour déchiffrer :
yinxuqab.ru
ET
DNS_TUNNEL_SUCCESS_C0MPLETE
Création du flag
Mis à jour