randomware

問題概要

ジャンル

Forensics

点数

300 points

問題文

randomware
My PC suddenly got broken. Could you help me to recover it please?
NOTE: The disk can be virus-infected. DO NOT RUN any programs extracted from the disk outside of sandbox.
disk.qcow2.zip
Challenge files is huge, please download it first. Password will release after 60min.

password: h9nn4c2955kik9qti9xphuxti

フラグ

???

挑戦者

mzyy94
pinksawtooth

解法

archivesの中の実行ファイルを解析するとgetflagが生jpg落として，暗号化している．
手元には実行ファイルとPGPで暗号化されたJPGしかない
つまり実行ファイルの鍵生成をリバーシングしないといけないって感じ
しかし/dev/random使ってるから鍵がわからない・・・

議論

とりあえずイメージは故意に壊された32bit Linux。
壊された理由はランサムウェアとしての挙動をブート時に行うため。
testdiskでパーティションを復旧してあげるとマウントできるようになる。

mydata.tgzというデータが入ってそうなアーカイブが。
/home/tcのデータが入っているようで、getflagという実行ファイルあり。
管理者権限を要求してくるのでsudoで実行すると、http://172.17.0.1/h1dd3n_s3cr3t_f14g.jpg
を取得して/home/tcをかき回してブートセクタを書き換えて終了する。
strace見た感じかき回すけど拡張子がリストにないファイルに変更を加えてる様子はない。
getflagを解析すればよさそう。

system関数実行後にbreakポイントしかけたらよさそう
サーバからダウンロードできない

recdir内でencryptしてるっぽい