Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Reacties (15)
Ik ben naar aanleiding van jouw post begonnen met deze challenge. Weinig tot geen ervaring met network forensics dus wel leuk om te doen.
Aanval lijkt succesvol geweest te zijn, er is data naar een drop-server verzonden. We kunnen een aanname doen over de nationaliteit achter de aanval en ik heb tot nu 3 verschillende soorten encryptie gezien.
Op dit moment probeer ik uit te vinden wat ik met de verzamelde data kan doen. Gebruikte tools: wireshark, networkminer, hexeditor en notepad.
Aanval lijkt succesvol geweest te zijn, er is data naar een drop-server verzonden. We kunnen een aanname doen over de nationaliteit achter de aanval en ik heb tot nu 3 verschillende soorten encryptie gezien.
Op dit moment probeer ik uit te vinden wat ik met de verzamelde data kan doen. Gebruikte tools: wireshark, networkminer, hexeditor en notepad.
10-04-2013, 14:25 door
[Account Verwijderd]
[Verwijderd]
Opdracht staat in de tekst
Na wat zoeken vind je een zip bestand dat geëncrypteerd is met blowfish. Verder ben ik nog niet.
Zit er iemand op een chat?
We aren't entirely leaving our traditional cipher puzzle heritage behind though, as there are two distinct stages to this challenge. The first involves decoding the attacker's actions to determine what information they exfiltrated. There are then a series of cryptic clues - effectively a trail of digital breadcrumbs - that you will need to follow to unravel the final prize, which has been provided by the Cyber Security Challenge.
Na wat zoeken vind je een zip bestand dat geëncrypteerd is met blowfish. Verder ben ik nog niet.
Zit er iemand op een chat?
10-04-2013, 19:34 door
yobi
Er wordt blijkbaar gespioneerd bij een bedrijf. Via internet gaan er vertrouwelijke gegevens naar buiten. Ook zie ik een EXE-bestand langskomen.
Tot nu toe:
urlsnarf -p UKCSC.pcap
Er wordt wat ge-POST.
nslookup naam_van_de_host
Filteren in Wireshark op het ip-adres.
In Wireshark export objects -> http en sla de bestanden op.
Via:
strings 911471965431764*lst
komt er meer informatie naar boven.
De exe ga ik natuurlijk niet zomaar starten. Zal wel weer een klus voor IDA worden.
Tot nu toe:
urlsnarf -p UKCSC.pcap
Er wordt wat ge-POST.
nslookup naam_van_de_host
Filteren in Wireshark op het ip-adres.
In Wireshark export objects -> http en sla de bestanden op.
Via:
strings 911471965431764*lst
komt er meer informatie naar boven.
De exe ga ik natuurlijk niet zomaar starten. Zal wel weer een klus voor IDA worden.
11-04-2013, 14:48 door
superjohn
Enkele Stuxnet referenties gezien :)
Ik zit nogal muurvast.
In het pcap bestand wordt er een zip bestand verzonden naar de control server dat geëncrypteerd is via blowfish. De key waarmee wordt mee verzonden, maar is geëncrypteerd via een publieke rsa key.
Ik heb de private rsa key kunnen vinden via de modulus dat in de www.pwc.com website verborgen staat en heb zo blowfish key kunnen vinden.
Echter lukt het me niet om zip te decrypte met mijn key. Niet zeker dus als mijn key correct is of ik nog iets moet doen met die blowfish data.
Iemand verder?
Ik zit nogal muurvast.
In het pcap bestand wordt er een zip bestand verzonden naar de control server dat geëncrypteerd is via blowfish. De key waarmee wordt mee verzonden, maar is geëncrypteerd via een publieke rsa key.
Ik heb de private rsa key kunnen vinden via de modulus dat in de www.pwc.com website verborgen staat en heb zo blowfish key kunnen vinden.
Echter lukt het me niet om zip te decrypte met mijn key. Niet zeker dus als mijn key correct is of ik nog iets moet doen met die blowfish data.
Iemand verder?
11-04-2013, 16:44 door
Erwin_
Alles wordt in ieder geval via de 911471965431764.jpg verstuur naar C&C..
C&C zit in ieder geval achter worldnews.it.cx
C&C zit in ieder geval achter worldnews.it.cx
11-04-2013, 16:55 door
Erwin_
het domein uglygorilla.us.to draait op zelfde ip als worldnews.it.cx
12-04-2013, 08:47 door
superjohn
Het is me gelukt om die zip file; dat geüpload wordt; te decrypte.
De gedecrypteerde key staat omgedraaid en het blowfish bestand is endianness en base64 encoded.
Ik heb nu 2 bestanden die mij op het eerste zicht niet veel zegt. Maar volgens deze tekst zou ik hiermee iets kunnen doen.
De gedecrypteerde key staat omgedraaid en het blowfish bestand is endianness en base64 encoded.
Ik heb nu 2 bestanden die mij op het eerste zicht niet veel zegt. Maar volgens deze tekst zou ik hiermee iets kunnen doen.
There are then a series of cryptic clues - effectively a trail of digital breadcrumbs - that you will need to follow to unravel the final prize
15-04-2013, 16:24 door
TAPE
Ben ik nou gek of zijn er aardig wat mp3 bestanden erin ...
Ben ermee bezig, maar ik had alvast een tcpxtract erop gedaan en kreeg een hoop bestanden terug.
mkdir /root/output
tcpxtract -f UKCSC.pcap -o output/
Met een exiftool check op sommige bestanden bleek dat tcpxtract onjuiste bestand formaten aangaf, ik neem aan
dat dat eerder aan mijn n00b kennis ligt dan aan het programma.
Kreeg iig te zien (en te horen) dat er wat mp3 bestanden waren.
Zal verder spitten, altijd leuk die challenges als er maar wat hints komen ;)
Ben ermee bezig, maar ik had alvast een tcpxtract erop gedaan en kreeg een hoop bestanden terug.
mkdir /root/output
tcpxtract -f UKCSC.pcap -o output/
Met een exiftool check op sommige bestanden bleek dat tcpxtract onjuiste bestand formaten aangaf, ik neem aan
dat dat eerder aan mijn n00b kennis ligt dan aan het programma.
Kreeg iig te zien (en te horen) dat er wat mp3 bestanden waren.
Zal verder spitten, altijd leuk die challenges als er maar wat hints komen ;)
16-04-2013, 08:44 door
superjohn
Het eerste deel van de challenge is zoeken welke data er gelekt wordt.
- Je zal zien dat er een zip bestand verzonden wordt.
- Probeer dit zip bestand te openen
- Je zal zien dat er een zip bestand verzonden wordt.
- Probeer dit zip bestand te openen
16-04-2013, 12:14 door
TAPE
Pff... lukt mij niet eens om de "CQ Pharma Proposal.zip" te maken van de base64..
dat zou toch niet zo moelijk moeten zijn, maar als ik de base64 uit het bestand haal waar dat instaat ;
-----------------------------19790509
Content-Disposition: form-data; name="file"; filename="C:\Documents and Settings\o.smith1\My Documents\CQ Pharma Proposal.zip"
Content-Type: text/plain
oLlMa1nC6d8ghkF4SkoiLdWOofCF bla bla bla base64
en propeer te decoden
base64 -d test.out > file.new
dan krijg ik geen bruikbare bestand.
Hintjes ? :D
dat zou toch niet zo moelijk moeten zijn, maar als ik de base64 uit het bestand haal waar dat instaat ;
-----------------------------19790509
Content-Disposition: form-data; name="file"; filename="C:\Documents and Settings\o.smith1\My Documents\CQ Pharma Proposal.zip"
Content-Type: text/plain
oLlMa1nC6d8ghkF4SkoiLdWOofCF bla bla bla base64
base64 -d test.out > file.new
Hintjes ? :D
dan krijg ik geen bruikbare bestand.
Hintjes ? :D
Mijn probleem is eerder de rsa key; ik heb in de pcap een key en een c waarde gevonden (komen van de i-grasp.com site), zit ik hier goed mee superjohn?
17-04-2013, 08:55 door
superjohn
Mijn probleem is eerder de rsa key; ik heb in de pcap een key en een c waarde gevonden (komen van de i-grasp.com site), zit ik hier goed mee superjohn?
Je moet zoeken naar de modulus van de rsa key. Dan moet je ook nog die 3 xor strings erop los laten.
Gebruik dan msieve om dan factoren te vinden. Want de key is 256 bits lang :)
Dan als je de factoren hebt, kan je decryptie sleutel maken.
Hehe, ook de zip open, was best nog leuk om te doen. Nu eens kijken of ik nog een leuke brainwave over de inhoud kan krijgen ;-)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
