Skip to content
LEFORENSE

LEFORENSE

Computação Forense, onde o conhecimento é compartilhado!

  • INICIO
  • ARTIGOS FORENSE
  • TUTORIAIS
  • GUIA DE REMOÇÃO
  • LIVROS
  • GRUPOS TELEGRAM
  • Home
  • Respostas ao desafio forense – Nível #2
  • Forense

Respostas ao desafio forense – Nível #2

6 min read

Indice

  • 1 No computador RCPDSK03, havia um arquivo chamado payload.bat. Qual a url ele acessa?
    • 1.1 Método HARDCORE (BRUTO)
  • 2 Metodo HARDCORE (Lógico)
    • 2.1 Método NUTELLA
  • 3 Ao acessar a URL do payload.bat, qual é a resposta para o Token decodificado?
  • 4 No computador do João, foi identificado que ele instalou o TOR Browser. Se sabe qual o URL ele acessou?
  • 5 Qual era o conteúdo do endereço do URL Onion?
  • 6 Qual era o e-mail do Joao?
  • 7 Qual o e-mail do irmão do Meliante?
  • 8 Meliante desconfiava de algo, ele tentou avisar o seu irmão. Ele enviava arquivos compactado com uma senha, qual era essa senha?
  • 9 Próximo nível

Esta é a continuação das respostas do DESAFIO FORENSE, no Nível #2. Se você não fez ainda o desafio, tenta fazer, confere aqui DESAFIO FORENSE.

No computador RCPDSK03, havia um arquivo chamado payload.bat. Qual a url ele acessa?

Esta pergunta é propositalmente colocada para pensar fora da caixa. Ao analisar o conteúdo, o que achamos, um monte de código estranho? Em byte code? Obfsucator?

Ha várias formas de resolver…. pelo HARDCORE BRUTO (raiz), HARDCORE LÓGICO (lógica de programação) ou pelo modo NUTELLA

Método HARDCORE (BRUTO)

O arquivo esta obfuscado aparentemente. Vou colocar um “pause” no arquivo e executar.

Podemos observar, que ele acessou alguma pagina HTML, mas ainda sem sucesso para ver a URL. Então vou colocar “echo” na frente de todas as linhas e executar!

Tem até um comentário “que estou perto” hehe… vejam que legal, ele executa o programa “curl” e um endereço, ficou algo quebrado com relação ao obfuscator.

Vou fazer um teste de conceito, vou fazer o DUMP de RAM em quanto executo esse programa sem os echo.

O ideal seria fazer uma análise com o volatility…. mas antes, eu já sei que é algo com CURL Com o fantastico Eureka posso fazer um parser no arquivo átras de URLS…. Executando assim:

python3 eureka.py -f memdump.mem –lang eng

O mesmo acima, pode ser feito com o STRINGS da SysInterals. 

Executando: strings -o memdump.mem > memdump.txt 

Logo se abrir o memdump.txt com um bloco de notas e procurar por “curl”, temos:

Metodo HARDCORE (Lógico)

Se parar para olhar o cógido, ele esta ofuscado, de forma nativa para que um “batch” no windows funcione sem precisar instalar nada. Quando estudamos criptografia vemos como exemplo a criptografia de César, que troca as letras um pelas outras.

Novamente do “shrimpgo” ele fez a melhor analise de desofuscação e compartilho o texto escrito por ele: 

- A variável "apf" registra a sequência dos caracteres a serem pesquisados. Ex.: se %apf:~14,1, então ele vai no 14º índice da variável (letra "e"), pegando apenas 1 caractere (",1"). Assim ele vai concatenando todas as outras strings. Portei o código para Python, ficando assim:
#!/usr/bin/python3

apf = []
for i in '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ':
    apf.append(i)

code = '@' + apf[14] + apf[12] + apf[17] + apf[24] + ' ' + apf[24] + \
apf[15] + apf[15] + '\n' + apf[27] + apf[14] + apf[22] + ' ' + apf[57] + \
apf[24] + apf[12] + apf[14] + ' ' + apf[14] + apf[28] + apf[29] + apf[10] + \
' ' +apf[25] + apf[14] + apf[27] + apf[29] + apf[24] + ' ' +apf[13] + \
apf[14] + ' ' + apf[10] + apf[12] + apf[17] + apf[10] + apf[27] + ' ' + \
apf[10] + ' ' + apf[41] + apf[47] + apf[36] + apf[42] + '....' + apf[12] + \
apf[24] + apf[23] + apf[29] + apf[18] + apf[23] + apf[30] + apf[14] + \
'! >' + apf[33] + apf[33] + '\n' + apf[12] + apf[30] + apf[27] + apf[21] + \
' -' + apf[28] + ' ' + apf[17] + apf[29] + apf[29] + apf[25] + '://' + \
apf[33] + apf[30] + apf[17] + apf[10] + apf[1] + apf[28] + apf[11] + \
apf[33] + apf[28] + '.' + apf[21] + apf[14] + apf[15] + apf[24] + apf[27] + \
apf[14] + apf[23] + apf[28] + apf[14] + '.' + apf[12] + apf[24] + apf[22] + \
'/' + '\n' + apf[14] + apf[33] + apf[18] + apf[29]

print(code)
- Resultado:
@echo off
rem Voce esta perto de achar a FLAG....continue! >xx
curl -s http://xuha1sbxs.leforense.com/
exit

Método NUTELLA

Esse é o método mais fácil…. Liguei a maquina alterei o DNS da vitima para um servidor que gerencio, e fiz a requisição. Logo, tennho o endereço que tentou acessar.

Nota: Se a url fosse http://(endereço.com)/algumacoisa.php estava lascado, não pegaria o “algumacoisa.php”

RESPOSTA
http://xuha1sbxs.leforense.com/

Ao acessar a URL do payload.bat, qual é a resposta para o Token decodificado?

Ainda esta pensando fora da caixa?

A resposta esta na pagina, ao acessar o endereço: http://xuha1sbxs.leforense.com/ vemos o seguinte:

Note que esta dizendo “CyberChef 9.12…. RC2 Encrypt” e logo criptografando token….

Lá no Root the Box (onde você responde as perguntas) tem o CyberChef 9.12.

Quando acessamos eles, e colocamos os valores informado na pagina, temos a resposta:

RESPOSTA
[email protected][email protected]_FOR3NS3

No computador do João, foi identificado que ele instalou o TOR Browser. Se sabe qual o URL ele acessou?

Se ele instalou, e por que precisou acessar ou tentar acessar algo pela ONION. Olhei logo o History do navegador (chrome), onde acho o seguinte:

Se acessar a URL do pastebin, temos:

RESPOSTA
http://zerobinqmdqd236y.onion/?d22e9ba1b754c4ed#efXcdfvF35AHydX7IGjSjWwuKJ9FVP9d4RXkxhzHPvI=

Qual era o conteúdo do endereço do URL Onion?

Poderia até ser simples, bastaria acessar o link com um navegador TOR e ter o resultado! Mas infelizmente o conteúdo não existe mais.

Nota: Este foi um desafio para eu autor, já que, eu mesmo queria saber como achar  a resposta da forma forense, apesar de saber a resposta…. Cruel! 🙁

Aqui foi necessário utilizar paciência e carving, ao procurar sobre a URL, foi possível encontrar que o João enviou ao Meliante via skype a url, porem o conteúdo esta em um arquivo .LDB, e até o presente momento – eu Luiz – desconheço algum SNSS Parser. Então recorri a um Data Carving, atrás de qualquer coisa que possa me ajudar.

Usei o photorec, configurações padrões, e achei isso:

Com base nesse conteúdo, procurei no IPED (Indexador Forense) tudo sobre [email protected], encontrei um arquivo .eml, onde da a “entender” que é sobre isso. Até mesmo pelo assunto “interesse em comun” foi a mesma coisa vista ao encontrar o link no pastebin.

A pergunta, era qual era o conteúdo da mensagem… então acredito que os espaços fazem parte da resposta.

RESPOSTA
rraallpphh [at] protonmail [.] com

Qual era o e-mail do Joao?

Relativamente simples, é possível pelo chrome history ou analisando a maquina do Meliante.

RESPOSTA
[email protected]

Qual o e-mail do irmão do Meliante?

Não há mistério, basta usar a maquina do Meliante abrir o Thunder Bird, e verificar os e-mails enviados.

RESPOSTA
[email protected]

Meliante desconfiava de algo, ele tentou avisar o seu irmão. Ele enviava arquivos compactado com uma senha, qual era essa senha?

Analisando as mensagens enviadas, tem uma em particular que ele fala sobre o comando “copy /b arquivo1 + arquivo2 arquivofinal

Então, procurando nos e-mails enviados, podemos encontrar um em particular que tem o nome “Lembranças.jpg” e outro arquivo visualmente igual chamado “Meu_Irmao.jpg”, mas um em particular é diferente, ao comparar os dois em HEXADECIMAL

lembrancas.jpg

meu_irmao.jpg

Então, usando a mesma tecnica de estenográfia feita pelo Meliante, fazemos o reverso, renomeamos o arquivo lembrancas.jpg para lembrancas.rar e logo seguida abrimos o arquivo, e temos nossa resposta no arquivo em anexo.

RESPOSTA
[email protected]

Próximo nível

E aqui encerramos os desafios do nível 2. Vamos ao próximo!

Continue Reading

Previous: Respostas ao desafio forense – Nível #1
Next: Resposta ao desafio Forense Nível #3

Related Stories

Descobrindo a senha do Windows (Live-System)
6 min read
  • Ferramentas
  • Forense
  • Forense RAM

Descobrindo a senha do Windows (Live-System)

29 de junho de 2020
LeForense the Flag (PLACAR E RESPOSTAS)
1 min read
  • Forense

LeForense the Flag (PLACAR E RESPOSTAS)

14 de junho de 2020
Tabela $MFT quais segredos temos?
3 min read
  • Forense

Tabela $MFT quais segredos temos?

11 de maio de 2020

Talvez queira ler...

Download do CHROME pelo PowerShell
2 min read
  • Segurança da Informação

Download do CHROME pelo PowerShell

20 de fevereiro de 2022
Procurando onde o e-mail está registrado…
1 min read
  • OSINT

Procurando onde o e-mail está registrado…

15 de fevereiro de 2022
Ninja Cookie
1 min read
  • Segurança da Informação

Ninja Cookie

8 de fevereiro de 2021
Coleção de Cheat Sheets
5 min read
  • Segurança da Informação

Coleção de Cheat Sheets

7 de fevereiro de 2021
Este site esta licenciado pelas regras CC BY | DarkNews by AF themes.