WRITEUP HeroCTF v3 Forensic

We Need You 1/5

Interpol and the FBI have been investigating for over a year now. They are trying to get their hands on two hackers very well known for their ransomware and their ultra efficient botnet.

After long months of investigation, they managed to get their hands on one of their servers. But, when they got it back the PC caught fire because of a defense mechanism set up by the two hackers.

The hard drive could not be saved, but they had time to put the RAM in liquid nitrogen and analyze it later.

You know what you have to do!

For this first step, find the name of the PC!

Première étape, après le téléchargement du .vmem, je lance un imageinfo avec volatility afin de trouver un profil adéquate

Il faut maintenant utilisé le profil adéquate.

Le nom du pc peut être obtenu via les clés de  registre

sur l'offset virtuel  \REGISTRY\MACHINE\SYSTEM


Voici le résultat:

Registry: \REGISTRY\MACHINE\SYSTEM
Key name: ComputerName (S)
Last updated: 2021-04-19 17:00:09 UTC+0000

Subkeys:

Values:
REG_SZ                        : (S) mnmsrvc
REG_SZ        ComputerName    : (S) KANNIBAL

Le flag est donc Hero{KANNIBAL}

We need you 2/5

It must be their team name.

For this second step, find the user's name and password in clear text.

Avec volatility3:

On regarde si la base SAM est présente

C'est gagné.

On extrait le hashdump

Razex   1000    aad3b435b51404eeaad3b435b51404ee        78d9c7e905c695087ee3baa755ce43e4

avec Crackstation:

Le flag est donc Hero{Razex:liverpoolfc123}

We need you 3/5

We know for sure that this server allowed to connect to infected machines. Can you check if a connection was instantiated?

grâce à un netstat on trouve facilement l'information suivante: 146.59.156.82:4444

We need you 4/5

The FBI and Interpol are desperately looking for the first and last names of the two hackers.

Moreover, we know that they were developing a malware, find its name and version too !

Find this valuable information!

Lors d'un scan préliminaire j'ai vu un fichier .py ...

donc je lance un filescan via volatility avec un grep .py...

avec la commande:

python3 ./vol.py  -f /home/enzo/Téléchargements/capture.mem windows.dumpfiles.DumpFiles --physaddr 0x7dc30518

Je télécharge un dump du fichier

Nous avons identifié un auteur

Afficher les commentaires