はまやんはまやんはまやん

hamayanhamayan's blog

Hack The Box Sherlocks - Lockpick2.0 Writeup

Security

https://app.hackthebox.com/sherlocks/Lockpick2.0
Hack The Box Sherlocksとは

Sherlock Scenario

We've been hit by Ransomware again, but this time the threat actor seems to have upped their skillset. Once again a they've managed to encrypt a large set of our files. It is our policy NOT to negotiate with criminals. Please recover the files they have encrypted - we have no other option! Unfortunately our CEO is on a no-tech retreat so can't be reached. Warning This is a warning that this Sherlock includes software that is going to interact with your computer and files. This software has been intentionally included for educational purposes and is NOT intended to be executed or used otherwise. Always handle such files in isolated, controlled, and secure environments. One the Sherlock zip has been unzipped, you will find a DANGER.txt file. Please read this to proceed.
私たちは再びランサムウェアの被害に遭いましたが、今回は脅威アクターのスキルセットが向上しているようです。もう一度、彼らは私たちの大規模なファイルセットを暗号化することに成功しました。犯罪者と交渉しないのが私たちのポリシーです。暗号化されたファイルを回復してください。他に選択肢はありません。残念ながら、弊社の CEO は技術関連のない休暇中のため、連絡が取れません。警告 これは、この Sherlock には、お使いのコンピュータやファイルと対話するソフトウェアが含まれていることを示す警告です。このソフトウェアは教育目的で意図的に含まれており、それ以外の方法で実行または使用することを意図したものではありません。このようなファイルは常に、隔離され、管理された安全な環境で処理してください。Sherlock zip を解凍すると、DANGER.txt ファイルが見つかります。続行するにはこれをお読みください。

ランサムウェアに関連するファイル群が与えられる。

Tasks

Task 1

What type of encryption has been utilised to encrypt the files provided?
提供されたファイルの暗号化にはどのような種類の暗号化が使用されていますか?

どうせAESやろと思って入力したらあってた。

Task 2

Which market is our CEO planning on expanding into? (Please answer with the wording utilised in the PDF)
当社の CEO はどの市場への進出を計画していますか? (PDFに記載されている文言で回答してください)

UPXでパッキングされてたのでまずは解除する。upx -d update。AESであることはTask 1から分かっているので、その前提で読んでいくと以下のように復号化に必要な情報が手に入る。

Type: aes_256_cbc
key: f3fc056da1185eae370d76d47c4cf9db9f4efd1c1585cde3a7bcc6cb5889f6db
IV: 01448c7909939e13ce359710b9f0dc2e

これでファイル復号化ができ、expanding-horizons.pdfを開くとAustralian marketであると分かる。

Task 3

Please confirm the name of the bank our CEO would like to takeover?
当社の CEO が買収を希望している銀行の名前を確認してください。

takeover.docxを復号化するとNotionwide Bankであると分かる。

Task 4

What is the file name of the key utlised by the attacker?
攻撃者が使用したキーのファイル名は何ですか?

使われている短縮URLのLocationから分かる。

$ curl https://rb.gy/3flsy -v
*   Trying 3.229.245.252:443...
* Connected to rb.gy (3.229.245.252) port 443 (#0)
…
< content-length: 0
< location: https://www.dropbox.com/s/2hqgpmtc2mdwij4/updater?dl=1
...

より、updater。

Task 5

What is the file hash of the key utilised by the attacker?
攻撃者が利用したキーのファイル ハッシュは何ですか?

短縮URL経由でファイルを持ってきてハッシュを取る。

$ md5sum updater 
950efb05238d9893366a816e6609500f  updater

Task 6

What is the BTC wallet address the TA is asking for payment to?
TA が支払いを求めている BTC ウォレット アドレスは何ですか?

ランサムノート share/countdown.txt をみると書いてある。

Task 7

How much is the TA asking for?
TA はいくら要求していますか?

ランサムノート share/countdown.txt をみると書いてある。A million poundsなので£1000000

Task 8

What was used to pack the malware?
マルウェアの梱包には何が使用されましたか?

Task 2よりupx