Наши агенты обнаружили новый экземпляр ВПО, используемый для атак на банковские организации города.
У нас есть базовый семпл и трафик сгенерированный при его работе.
Попробуй разобраться, что к чему и может у тебя получится получить данные, которые были зашифрованы.
Пароль от архива: infected
Задача не содержит реального ВПО, всё что осуществляет файл в результате своей работы безвредно для вашего ПК
Не требуется
Архив из директории public/
PE 64bit, simple malware VM
- Нам дан исполняемый файл и трафик
- Файл практически безверный, он шифрует файл "flag.png" и отправляет его по сети
- В трафике с помощью статистики можно найти интересный IP-адрес (13.37.13.37)
- Данные на этот адрес предаются по UDP. Сначала идёт пакет размером 48 байт, а потом большой бинарный блоб
- Вероятно, это зашифрованные данные, а первый пакет служит некоторым инициализатором
- Анализировать бинарь довольно проблематично, т.к. он реализует ВМ и запускает 4 модуля подряд
- При этом в исполняемом файле не реализован механизмы противодействующие отладке
- В основном модули выполняют простые функции, но они усложнены наличием виртуализации
- Первый модуль проверяет подключен ли отладчик через функцию
IsDebuggerPresent - При этом, если отладчик подключен, то исполняемый файл не завершит свою работу, а просто сгенерирует другой набор чисел для шифрование SID-а компьютера
- Второй модуль осуществляет шифрование SID-а ПК
- Третий модуль отправляет по сети зашифрованный SID
- Четвёртый модуль отправляет зашифрованный файл
- Файл шифруется с помощью AES_CBC, ключ и IV получаются из SID-а
- Необходимо восстановить из трафика SID и сгенерировать из него ключ и IV
Скрипт расшифроврки пакета в трафике
CUP{314e7940dc3081707a85a077503f2807}