# Write Up CIS ACTVN 2024 (FORENSICS)
## 1. Tin Học Văn Phòng 2
Bài cho mình 1 file .zip chứa file .doc, mình extract file zip ra thì windows defender cảnh báo nguy hiểm luôn, mình chuyển vào kali kiểm tra:
Thông qua việc kiểm tra file bằng lệnh file, có thể thấy được tệp Tin_hoc_van_phong_2.doc là một tệp Microsoft Word CDFV2 (Compound Document File V2), định dạng tệp Word cũ (từ các phiên bản Microsoft Office trước 2007). Các tệp này thường chứa macro VBA khi bị khai thác làm mã độc.
Ngay sau đó, mình kiểm tra macro trong file bằng olevba:
Kết quả từ olevba cho thấy tệp này chứa các macro VBA độc hại, cụ thể là các macro trong các module như Module2, Module3, và Module4. Một trong số các macro đáng chú ý là AutoOpen(), thường được sử dụng để tự động thực thi mã độc khi tài liệu được mở. Các đoạn mã khác trong các module có thể đang sử dụng các kỹ thuật mã hóa và xâu chuỗi để che giấu nội dung độc hại, mình thử decode nhưng dường như không đem lại được gì.
Mất một lúc với olevba nhưng không có thêm gì, mình tìm tool phân tích khác và thử với [ViperMonkey](https://github.com/decalage2/ViperMonkey):
Có vẻ ViperMonkey phân tích sâu hơn olevba, mình đợi 1 lúc cho tool phân tích hết và đã phát hiện ra 1 số điểm khác thường:
Kéo xuống dưới, ta thấy được những đoạn script bị ẩn mà nếu dùng olevba thì không thể thấy được:
Kéo xuống dưới cùng mình phát hiện đoạn base 64 rất khả nghi này:
Decode thử và mình có được flag trong đoạn poweshell:
> Trong đoạn mã mà, mã độc được nhúng trong macro VBA của tệp Word. Đây là một đoạn mã PowerShell độc hại với mục đích kết nối đến một máy từ xa và thực hiện các lệnh qua giao thức TCP. Mã này lắng nghe trên địa chỉ IP 192.168.49.54 và cổng 4953, sau đó thực thi bất kỳ lệnh nào được gửi đến qua kết nối đó.
> Flag: CIS2024{Tin_hoc_van_phong_neva_die}
---
## 2. sexe.zip
Bài cho mình 1 file zip kèm pass, mở file mình có 1 file .eml, kiểm tra thử nội dung, mình thấy:
Đoạn mã base 64 hơn 6000 dòng này khá là khả nghi, mình bỏ vô cyberchef để xem thì phát hiện:
Đây có vẻ như là 1 file zip chứa tệp sexe.docm (tiếp tục là file Word bị nhiễm macro VBA độc hại), tải về với định dạng .zip, mình có được file sexe.docm.
May mắn là biết được tool phân tích vba mới mạnh hơn olevba, mình bắt tay phân tích file luôn với ViperMonkey:
Lướt xuống đoạn script bị ẩn, mình lại có phát hiện mới:
Để ý thấy có rất nhiều link download các file từ 1.godefend đến 100.godefend, mình truy cập thử vào https://github.com/0xKCSC/demo-only thì có được:
Cũng chưa rõ đó là các file gì, mình download luôn hết cả về và có được folder chứa toàn ảnh (chắc do author tự des) và 2 file thực thi PE32:
Vì đề bài đề cập đến việc flag có 2 phần, nhìn qua các ảnh có vẻ giống nhau, nhưng đến ảnh số 22 mình đã thấy được part 1 flag:
Mô tả nói rằng part 2 flag ở trong link, còn 2 file PE32 mình chưa kiểm tra, kiểm tra thử mình thấy được:
Tiếp tục là 1 đoạn base 64 đáng ngờ nữa, decode và mình có được:
Đúng như những gì author đề cập, part 2 flag ở ngay trong link http://godefend.work/thefinal-stage/is/p0wershe1l. Kết hợp 2 phần lại ta có flag hoàn chỉnh.
> Flag: CIS2024{sexy_h0ney_p0wershe1l}
---
Sign in with Wallet
Connect another wallet