Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Wie heeft deze challenge al opgelost?

09-04-2013, 09:19 door yobi, 15 reacties
Voor de liefhebbers:
https://cybersecuritychallenge.org.uk/pwccipherchallenge.php

Wie heeft hem al opgelost?
Reacties (15)
10-04-2013, 06:30 door Anoniem
Ik ben naar aanleiding van jouw post begonnen met deze challenge. Weinig tot geen ervaring met network forensics dus wel leuk om te doen.

Aanval lijkt succesvol geweest te zijn, er is data naar een drop-server verzonden. We kunnen een aanname doen over de nationaliteit achter de aanval en ik heb tot nu 3 verschillende soorten encryptie gezien.

Op dit moment probeer ik uit te vinden wat ik met de verzamelde data kan doen. Gebruikte tools: wireshark, networkminer, hexeditor en notepad.
10-04-2013, 14:25 door [Account Verwijderd]
[Verwijderd]
10-04-2013, 15:52 door Anoniem
Opdracht staat in de tekst

We aren't entirely leaving our traditional cipher puzzle heritage behind though, as there are two distinct stages to this challenge. The first involves decoding the attacker's actions to determine what information they exfiltrated. There are then a series of cryptic clues - effectively a trail of digital breadcrumbs - that you will need to follow to unravel the final prize, which has been provided by the Cyber Security Challenge.

Na wat zoeken vind je een zip bestand dat geëncrypteerd is met blowfish. Verder ben ik nog niet.

Zit er iemand op een chat?
10-04-2013, 19:34 door yobi
Er wordt blijkbaar gespioneerd bij een bedrijf. Via internet gaan er vertrouwelijke gegevens naar buiten. Ook zie ik een EXE-bestand langskomen.

Tot nu toe:
urlsnarf -p UKCSC.pcap
Er wordt wat ge-POST.
nslookup naam_van_de_host
Filteren in Wireshark op het ip-adres.
In Wireshark export objects -> http en sla de bestanden op.

Via:
strings 911471965431764*lst
komt er meer informatie naar boven.

De exe ga ik natuurlijk niet zomaar starten. Zal wel weer een klus voor IDA worden.
11-04-2013, 14:48 door superjohn
Enkele Stuxnet referenties gezien :)

Ik zit nogal muurvast.

In het pcap bestand wordt er een zip bestand verzonden naar de control server dat geëncrypteerd is via blowfish. De key waarmee wordt mee verzonden, maar is geëncrypteerd via een publieke rsa key.

Ik heb de private rsa key kunnen vinden via de modulus dat in de www.pwc.com website verborgen staat en heb zo blowfish key kunnen vinden.

Echter lukt het me niet om zip te decrypte met mijn key. Niet zeker dus als mijn key correct is of ik nog iets moet doen met die blowfish data.

Iemand verder?
11-04-2013, 16:44 door Erwin_
Alles wordt in ieder geval via de 911471965431764.jpg verstuur naar C&C..


C&C zit in ieder geval achter worldnews.it.cx
11-04-2013, 16:55 door Erwin_
het domein uglygorilla.us.to draait op zelfde ip als worldnews.it.cx
12-04-2013, 08:47 door superjohn
Het is me gelukt om die zip file; dat geüpload wordt; te decrypte.

De gedecrypteerde key staat omgedraaid en het blowfish bestand is endianness en base64 encoded.

Ik heb nu 2 bestanden die mij op het eerste zicht niet veel zegt. Maar volgens deze tekst zou ik hiermee iets kunnen doen.

There are then a series of cryptic clues - effectively a trail of digital breadcrumbs - that you will need to follow to unravel the final prize
15-04-2013, 16:24 door TAPE
Ben ik nou gek of zijn er aardig wat mp3 bestanden erin ...

Ben ermee bezig, maar ik had alvast een tcpxtract erop gedaan en kreeg een hoop bestanden terug.


mkdir /root/output
tcpxtract -f UKCSC.pcap -o output/

Met een exiftool check op sommige bestanden bleek dat tcpxtract onjuiste bestand formaten aangaf, ik neem aan
dat dat eerder aan mijn n00b kennis ligt dan aan het programma.

Kreeg iig te zien (en te horen) dat er wat mp3 bestanden waren.

Zal verder spitten, altijd leuk die challenges als er maar wat hints komen ;)
16-04-2013, 08:44 door superjohn
Het eerste deel van de challenge is zoeken welke data er gelekt wordt.
- Je zal zien dat er een zip bestand verzonden wordt.
- Probeer dit zip bestand te openen
16-04-2013, 12:14 door TAPE
Pff... lukt mij niet eens om de "CQ Pharma Proposal.zip" te maken van de base64..

dat zou toch niet zo moelijk moeten zijn, maar als ik de base64 uit het bestand haal waar dat instaat ;


-----------------------------19790509

Content-Disposition: form-data; name="file"; filename="C:\Documents and Settings\o.smith1\My Documents\CQ Pharma Proposal.zip"

Content-Type: text/plain
oLlMa1nC6d8ghkF4SkoiLdWOofCF bla bla bla base64
en propeer te decoden

base64 -d test.out > file.new
dan krijg ik geen bruikbare bestand.


Hintjes ? :D
16-04-2013, 13:13 door Anoniem

dan krijg ik geen bruikbare bestand.

Hintjes ? :D
Omdat het nog met blowfish gecodeerd is.

Mijn probleem is eerder de rsa key; ik heb in de pcap een key en een c waarde gevonden (komen van de i-grasp.com site), zit ik hier goed mee superjohn?
17-04-2013, 08:55 door superjohn
Mijn probleem is eerder de rsa key; ik heb in de pcap een key en een c waarde gevonden (komen van de i-grasp.com site), zit ik hier goed mee superjohn?

Je moet zoeken naar de modulus van de rsa key. Dan moet je ook nog die 3 xor strings erop los laten.

Gebruik dan msieve om dan factoren te vinden. Want de key is 256 bits lang :)

Dan als je de factoren hebt, kan je decryptie sleutel maken.
18-04-2013, 16:17 door Anoniem
Hehe, ook de zip open, was best nog leuk om te doen. Nu eens kijken of ik nog een leuke brainwave over de inhoud kan krijgen ;-)
24-04-2013, 00:59 door Anoniem
Hoe bereken je de decryptie sleutel uit de modulus?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.