夢幻泡影

人生は夢や幻、泡や影のようにはかないものであるということ。

MNCTF2019 Writeup

2019年7月4日、マクニカネットワークスさんの MNCTF2019 に参加しました。
結果はこんな感じ。
f:id:yam7k5:20190705211820p:plain

ツールによってWindowsLinuxゲストを使い分けてチャレンジしました。
以下、writeupです。


悪意部品 [暗号]

CyberChef での復号に取り組むも、早々に断念。


標的攻撃I [フォレンジック]

vmdkディスクイメージが与えられる。削除されたexeファイルを探す問題。
FTK Imager で探しきれず、ダメ元でforemostしたら一発でした。
f:id:yam7k5:20190705213428p:plain

5680a78ad0714d501f1a66215f509dfd


標的攻撃Ⅱ [マルウェア]

マルウェアを実行すると作成されるユーザアカウントを特定する問題。 とりあえずのstrings 。 f:id:yam7k5:20190705213847p:plain

SUPPORT_388945a1


標的攻撃Ⅲ [マルウェア]

標的攻撃Ⅱで特定されたユーザアカウント名から攻撃者グループを探する問題。
Threatminerで探しました。
f:id:yam7k5:20190705215050p:plain

OceanLotus


標的攻撃Ⅳ [マルウェア]

作成したユーザをログイン画面で非表示にするためのレジストリキー名を答える問題。そんなことできるんだ。
標的攻撃Ⅱの string 結果でレジストリっぽいものがあったので、手当たり次第にsubmit。

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList


建屋制御Ⅰ [ネットワーク]

PCAPが与えられる。Wiresharkに食わせたら全然知らないプロトコル。 とりあえずストリームを見てみて、文字列になっているものをsubmit。
f:id:yam7k5:20190705220844p:plain

1F_factory


建屋制御Ⅱ [ネットワーク]

時間内に解けませんでした。解いてた方々が多めだったので無念。


情報漏洩I [マルウェア]

暗号化されているファイルが見つかったので解読してツール名を答える問題。
さてはアンパック問題か?と身構えるも、bat ファイルでした。 f:id:yam7k5:20190705221609p:plain

"@echo off" 等、bat ファイルのコードが見えるものの、%*% が邪魔。
ということで、一括削除する。
f:id:yam7k5:20190705222159p:plain

2行目に "TOOL NAME:" があった。

XLS_Stealer_w00fw00f


情報漏洩Ⅱ [その他]

時間内に解けませんでした。
これ、勿体なかったなぁ。 batファイルに書いてあるIPにFTPでログインできなかった。
"P455w0rd"ってあるから、これパスワードでしょ?と、色んな手段で接続を試したけど、ダメでした。
冷静になったら、これはユーザ名だと分かるんだけど、作問者の目論見どおりハマっちまった感。 f:id:yam7k5:20190705222852p:plain f:id:yam7k5:20190705223000p:plain


暗証保護 [Web]

Web無理です。


以上、それなりの順位ではあったんですが、悔しさの残る結果となりました。
来年はチャレンジするか、どうしようか。

ともあれ、楽しい時間をありがとうございました。