В компании произошла утечка. К счастью, нам удалось локализовать машину и забрать с нее подозрительный трафик. Помоги выяснить, что украли злоумышленники.
Provide pcap file: public/trace.pcapng.
В pcap файле, отфильтровав по протоколу http, можно заметить подозрительные GET POST запросы на 10.0.0.1
Первый GET запрос возвращает бинарь (стиллер), второй GET запрос возвращает AES ключ, третий POST запрос отправляет зашифрованные данные на сервер.Бинарь - sfx архив с dotnet стиллером и парой библиотек к нему. Стиллер немного обфусцирован.
Но после недолгого переименования все становится видно. До main вызываются различные проверки на антиотладку, окружение, виртуальные машины. Стиллер ворует учетки и куки из chrome и firefox, шифрует их RC4 с зашитым ключом, затем AES, ключ которого получен с сервера, затем base64 и urlencode. Поняв алгоритм, нужно взять данные из pcap файла и расшифровать.
Пример полного решения в CyberChef
In pcap file, filtered by http protocol, we can notice suspicious GET POST requests to 10.0.0.1
The first GET request returns a binary (styler), the second GET request returns an AES key, the third POST request sends encrypted data to the server. The binary is a sfx archive with dotnet styler and a couple of libraries for it. The styler is a bit obfuscated.
But after a short renaming everything becomes visible. Before main various checks for anti-debugging, environment, virtual machines are called. Stiller steals credentials and cookies from chrome and firefox, encrypts them with RC4 with encrypted key, then AES, which key is obtained from the server, then base64 and urlencode. Once you understand the algorithm, you need to take the data from the pcap file and decrypt it.
An example of the full solution in CyberChef
ctfcup{y0ur_p455w0rd5_4r3_n07_54f3}