Writeup/RETEX Chall' Brigitte Friang DGSE

La semaine dernière s'est déroulé un challenge de cybersécurité.

Ce challenge était composé d'une phase "d'échauffement" constituée dans un premier temps, d'une analyse du site web pour trouver une interface de "chat".

Ensuite, 4 choix s'offraient au challenger:

-Forensic
-Web
-Crypto
-Algo

J'aime beaucoup la forensic, je me suis donc penché sur cette partie là.

Après avoir validé un de ces quatre chemins, le challenger accède à la vraie plateforme de challenge par équipe. Je me suis arrêté à la validation de la première épreuve, n'ayant pas d'équipe et manquant de temps...

Revenons à la première étape, comment rentrer sur le site ?

à première vue, on pourrait penser à un bug, cependant, le challenge à déjà commencé! Beaucoup de personnes ont bloqué sur cette page... Il suffisait d'inspecter le code source de la page pour s'aperçevoir qu'il y avait un indice dans le header du code HTML!

On accède ensuite à une page un peu spéciale...

J'ai directement relevé la balise title du code html:

Aucun doute nous sommes sur un chiffrement césar! Pour trouver le décalage j'ai procédé à une simple analyse.  j'ai vu qu'il y avait une date... le" 23/01/1924" une date de naissance est souvent suivi d'un lieu de naissance... donc avec un "à" devant. la phrase d'après, je vois un 19... comme 19 ans ???? le h peut correspondre au a... Il y aurait donc un décalage de 7!

après une petite moulinette je tombe la dessus:

TADAM!

Génial! on y apprend qu'il y a un message codé sur la page ... Sur la page je relève quelques lettres en gras: joha  -> Avec un décalage de 7 on a: chat

En rentrant l'URL https://www.challengecybersec.fr/chat...

C'est sous forme de tchat, plutôt bien fait!

Donc moi j'ai décidé de parler à Alphonse pour la forensic!

Très bien une analyse de log!

Les logs font 2019 lignes. J'ai décidé de faire une analyse ligne par ligne, donc plutôt longue, en relevant les récurrences dans les adresses, ainsi que le type de user-Agent, le type de nav... Après quelques minutes, j'attéris sur cette ligne, qui attire mon attention:

Donc la en toute évidence c'est cette IP qui nous permet de continuer!

Pour poursuivre ce challenge, il faut télécharger une image... qui parait un peu lourde...!

Premier reflèxe que j'ai eu, c'est de l'analyser avec BULK! Bulk est un outil d'analyse forensic qui permet d'extraire des informations d'un fichiers, il est capable de fonctionner sur des images ( png..) mais aussi des .img, des disques...

L'utilitaire est capable de trouver des URL, des cartes de crédits...

Le logiciel créer un dossier avec des rapports dedans

un petit ls -l pour avoir la taille des rapports:

Le zip.txt attire mon attention, il y a de la data dedans.

on dirait bien que l'image contient deux images!

Tentons d'unzip le "jpg" !

Magique! :D nous obtenons deux images.

Même procédé avec ces deux images, un coup de bulk! :D

le part2 attire mon attention... il contient un dump.vmem! Intéressant pour le forensic.

Il faut maintenant trouver un moyen pour extraire cette data! Après analyse il semble que les disques soient issus d'un RAID... après quelques manipulations, j'ai réussi à extraite le dump de .vmem!

J'ai donc utiliser volatility V3 et 2.6 afin de continuer l'analyse!

Tout d'abord il faut déterminer quel profil utiliser...

NTBuildLab:  7601.17514.amd64fre.win7sp1_rtm

Donc un Win7 SP1!

Je commence par un filescan, pour voir d'éventuels fichier intéressants!

On obtient une genre de liste comme ceci:

Je remarque que plusieurs fichiers ont une extension en .evil ... etrange ? :D afin d’investiguer un peu plus en profondeur, j'ai fait un pslist avec volatility.

le process "drpbx.exe" attire mon attention.. Après une rapide recherche, Jigsaw utilise ce processus grâce à malfind

Les doutes sont confirmés...  un p'tit yarascan:

Infection par un fake Firefox... Intéressant, let's dump l'executuable!

Parfait! Petite recherche d'information avec la commande file:

PE32 80386 .Net ( surement C# du coup) ... c'est décompilable!

J'ai utilisé ILSpy pour décompiler voici ce que ça donne après quelques secondes:

Dans le main on a quelques informations intéressantes, notamment la clé de chiffrement...

Petite parenthèse drôle :D :

Une fois l'application décompilée deux choix s'offre à nous:

Reverse l'appli et utiliser les fonctions de déchiffrement intégrées:

Méthode testée et approuvée, mais moi j'aime bien python donc j'ai produit un script en python qui fait le café! :D

On obtient ainsi le flag, nous donnant accès aux différents challenge sur la vraie plateforme... ça m'a bien motivé niveau Forensic, j'vais peut être me remettre au forensic sur Root Me ! :D

Show Comments