have a Young's

주어진 파일을 압축해제를 하면 eml 파일들이 있다. MiTeC Mail Viewer로 주어진 폴더를 열어보았다. 메일을 각각 확인해 보면, 첨부파일로 zip 파일이 존재했다. 메일에 첨부되어 있는 파일을 모두 추출했다. unzip 명령어를 통해 zip 파일들을 모두 압축해제 했다. 추출된 파일들을 확인해 보니 .docx와 .exe 파일이 있었다. 한눈에 봐도 .docx 형식의 파일이 많았다. 그래서 .exe 파일만 따로 검색해 보았더니 총 6개가 존재했다. 아마도 이 중에서 악성코드가 있을 것 같다. 6개의 파일 중에 becauseq1af2332.exe 파일만 권한이 필요하다. 이 파일이 악성파일인 것 같다. 해당 파일의 SHA256를 구했다. FLAG fiesta{bcb10a8e6250ecb14293..

주어진 가상머신을 VMware에서 실행했다. Documents 폴더를 보면 파일들이 랜섬웨어에 의해 암호화된 것을 볼 수 있었다. 해당 가상머신에서 다운로드 폴더를 확인해 보면, 총 5개의 프로그램을 확인할 수 있다. portry라는 앱이 총 3개(바탕화면 1개, 다운로드 폴더에 2개)가 있는데 그 중 1개가 랜섬웨어로 추정된다. 랜섬웨어의 해시를 구했다. FLAG fiesta{ad1553caa9f56cb7a43927f9d494eacb7df3cdc6d1a01ee3fe3c8ba696e}

exe 파일이 1개 주어진다. 주어진 파일을 exeinfo로 확인해 보면 Visual Basic으로 작성된 것을 확인할 수 있었다. VB Decompiler pro로 프로그램을 디컴파일 해보았다. Module2 -> Proc_4_0_405EF8에서 IP 주소와 PORT 번호를 확인할 수 있다. IP : 40.82.159.132 / PORT : 3117 Module2 -> Proc_4_3_40513C을 보면 var_8C를 Xor 7 하는 것을 확인할 수 있다. "rtbu" xor 7 = user ID : user 비밀번호도 마찬가지로 "dofidb65$#"에 xor 7을 하고 있다. PW : chance12#$ FLAG fiesta{40.82.159.132_1337_user_chance12#$}

YARA Rule은 파일, 프로세스에서 특정 패턴을 식별하고 검색하는 데 사용되는 패턴 매칭 도구로 주로 악성코드 종류를 식별하고 분류하는 목적으로 사용된다. 먼저, 주어진 악성 코드를 HxD로 열어보았다. “Start” 파일은 ELF 파일임을 확인할 수 있었다. 문제에서 유사 악성코드가 한 번에 탐지되는 경우 FLAG가 출력된다고 했으니, 주어진 악성코드와 같은 ELF 파일들을 식별하는 코드를 제출하면 FLAG를 구할 수 있을 것이다! rule elf_file { condition: uint32(0) == 0x464c457f } 이 규칙은 ELF 파일 헤더의 처음 4바이트를 32비트 정수로 해석해 그 값이 “0x464c457f”인지 확인한다. (여기서 0x464c457f는 ELF 파일의 헤더다) 사이트..