Automne's Shadow.

OtterCTF 2018 Forensics WriteUp Part 2

2018/12/14 Share

Forensics

八、获取被感染原因

automne

恶意程序是通过Rick And Morty进程释放的,这个进程执行的命令是执行了一个download.exe文件导致,明显是通过Torrent下载的。

automne

接着使用filescan去扫描与Rick And Morty相关的文件名,找到几个.torrent结尾的文件

automne

使用dumpfiles依次将文件内容dump出来,并查看其内容,最终在上图标记处的文件里找到flag。

automne

automne

提交CTF{M3an_T0rren7_4_R!cke}出错,修改为CTF{M3an_T0rren7_4_R!ck}正确。

第八题:CTF{M3an_T0rren7_4_R!ck}

九、获取恶意程序来源

automne

恶意程序怎么进到受害者的机器里,无外乎是通过网络,通过浏览器,通过前面的pstree可知用户打开了Chrome并打开了一些tab页,尝试查看其Chrome浏览器的浏览历史。

automne

将对应的History文件dump出来,然后使用sqlitebrowser打开(kali自带):

sqlitebrowser “dump文件”

automne

Referer里的mail地址已经无法访问,site_url里只有https://mail.com

这个地址是国外一个邮箱的域名,为了获取登陆账号,这里使用bulk_extractor(kali自带)来提取镜像文件里的email地址相关的更多信息。

bulk_extractor -o bulk_out OtterCTF.vmem

automne

查看email.txt里的内容,可以发现账号名称:RickoPicko@mail.com

automne

邮箱密码第六题已经告知我们为M@il_Pr0vid0rs

automne

登陆成功,获取到本题flag。

automne

第九题:CTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}

十、获取攻击者比特币钱包地址

automne

首先尝试strings 3720.dmp并指定address,wallet,bitcoin等关键字都无法得到有效地址。因为比特币钱包地址是一串没有规则的字符串,很难通过关键字搜索。

尝试使用volatility里的procdump命令将恶意程序保存为可执行程序,然后在虚拟机里执行该程序。

automne

但是该程序无法正确执行。

下载CodeReflect,这个软件可以反编译.NET程序,加载上面的exe程序之后,最终在下图标记处找到比特币钱包地址:

1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M

automne

第十题:CTF{1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M}

十一、获取勒索软件内部图片

automne

提示我们恶意程序里的图片有猫腻,尝试在CodeReflect里找资源文件并没有什么发现。

首先使用binwalk看看分离出的exe文件

automne

果然里面包含了图片文件,再使用foremost去分离,分离之后打开即可得到flag

automne

第十一题:CTF{S0_Just_M0v3_Socy}

十二、获取勒索软件使用的密钥

automne

要求获取加密密钥,使用CodeReflect打开勒索软件,在反编译代码里看到一处SendPassword函数使用了加密密钥。并且是computerName-userName password的拼接。

automne

由上面解题过程可知,对应:WIN-LO6FAF3DTFE-Rick password
因此可以据此进行搜索。另外.NET默认UTF-16编码,strings命令使用el或者eb参数。

automne

最终得到password:aDOBofVYUNVnmp7

第十二题:CTF{aDOBofVYUNVnmp7}

十三、解密文件

之前使用volatility的cmdline命令时就看到了一个奇怪的文件,该文件以.WINDOWS为后缀,符合勒索软件的命名习惯。

automne

查找该文件

automne

将文件dump出来发现打开后是乱码。

通过前面的分析,现在已经知道了加密密钥和反编译后的软件源码,在CodeReflect里可以看到出现了hidden_tear字样

automne

经过google,发现用于加密文件
https://github.com/goliate/hidden-tear

找到相应的解密软件
https://www.bleepingcomputer.com/download/hidden-tear-decrypter/
使用该软件时要首先将dump出来的文件里的空字节删掉,使用010editor删除即可。

automne

最终解密成功。

automne

第十三题:CTF{Im_Th@_B3S7_RicK_0f_Th3m_4ll}

学到了蛮多东西,感到舒适。

automne

CATALOG
  1. 1. 八、获取被感染原因
  2. 2. 九、获取恶意程序来源
  3. 3. 十、获取攻击者比特币钱包地址
  4. 4. 十一、获取勒索软件内部图片
  5. 5. 十二、获取勒索软件使用的密钥
  6. 6. 十三、解密文件