--- lang: ja-jp breaks: true --- randomware === ## 問題概要 ### ジャンル Forensics ### 点数 300 points ### 問題文 randomware My PC suddenly got broken. Could you help me to recover it please? NOTE: The disk can be virus-infected. DO NOT RUN any programs extracted from the disk outside of sandbox. disk.qcow2.zip Challenge files is huge, please download it first. Password will release after 60min. password: h9nn4c2955kik9qti9xphuxti ### フラグ ??? ### 挑戦者 mzyy94 pinksawtooth ## 解法 archivesの中の実行ファイルを解析するとgetflagが生jpg落として，暗号化している． 手元には実行ファイルとPGPで暗号化されたJPGしかない つまり実行ファイルの鍵生成をリバーシングしないといけないって感じ しかし/dev/random使ってるから鍵がわからない・・・ ## 議論 とりあえずイメージは故意に壊された32bit Linux。 壊された理由はランサムウェアとしての挙動をブート時に行うため。 testdiskでパーティションを復旧してあげるとマウントできるようになる。 mydata.tgzというデータが入ってそうなアーカイブが。 /home/tcのデータが入っているようで、getflagという実行ファイルあり。 管理者権限を要求してくるのでsudoで実行すると、http://172.17.0.1/h1dd3n_s3cr3t_f14g.jpg を取得して/home/tcをかき回してブートセクタを書き換えて終了する。 strace見た感じかき回すけど拡張子がリストにないファイルに変更を加えてる様子はない。 getflagを解析すればよさそう。 ~~system関数実行後にbreakポイントしかけたらよさそう~~ サーバからダウンロードできない  recdir内でencryptしてるっぽい