昨日はマクニカネットワークス主催のCTFに参加してきました。うまく解けない問題もいくつかあり悔しかったので、リベンジもかねて Writeup を書きました。
ただ、問題の解説自体は午後のセッションで聞いてきたので、そのまま Writeup を作っても面白くないかと思います。なので、極力 CLI を使って Kali だけで解析をしてみよう、というのがこの記事の趣旨です。
デジタルフォレンジックとマルウェア解析の問題
1. 悪意部品 (暗号)
当日は JPCERT の記事中には 20h (32bytes) と書いてあるものの 20 bytes で問題ファイルが作成されていました。 1 位の方が for 文ぶん回して説いたと言っていたので、そのコードも参考にしつつ。
(略)
ずっと文字列で 16 進の値を読み込んではまっていました。 上記コードには出ていませんが、16進文字列 ("abcdef") を hex の値にするには binascii.unhexlify("abcdef") で良いことにやっと辿り着けた。。。
import binascii hexstr='abcdef' hexdata=binascii.unhexlify(hexstr) print hexdata >>> 0xabcdef
2. 標的攻撃 I (フォレンジック)
vmdk のディスクイメージファイルから削除されたファイルを抽出してそのファイルの MD5 ハッシュ値を求める問題です。GUI を使った場合は FTK Imager を使えばすぐにできると思います。CLI で実施するために、vmdk のマウントや qemu などいろいろ試して以下の手順で出来ました。
- qemu-nbd で扱える形式に変換
- vmdk イメージを NBD (Network Block Device) としてアタッチできるように modprobe でロードする
- qemu-nbd で nbd にディスクファイルをアタッチする
- ntfsundelete で削除済みファイルを探す
- ntfsundelete で削除済みファイルを抽出する
- md5 を求める
vmdk 変換
※ 今回受け取った vmdk ファイルは VMDK4 形式で、qemu-utils の qemu-img でも Windows の VBoxManager.exe でも変換できなく、以下の Windows EXE の qemu-img.exe を使って変換しています。
(情報元) virtualbox - How to convert VMDK to VDI/VHD - Unix & Linux Stack Exchange
変換は vhdx, vdi, raw を試しました。raw はファイルサイズが大きくなるので、一番ファイルサイズが小さな vdi が扱いやすいと思います。
# qemu-img.exe convert diskimage.vmdk -O vdi newimage.vdi
qemu 関連準備
qemu-nbd でディスクイメージをデバイスとして認識させることを目指します。まず最初に modprobe で nbd をロードし、そこに qemu-nbd でディスクイメージ(変換後)を割り当てます。
# modprove nbd max_part=16 # qemu-nbd -r -c /dev/nbd0 newimage.vdi
この後、割り当てられた /dev/nbd0p1 の mount を試しましたが、ファイルは一部しか見れませんし、削除済みファイルを探すこともできません。
削除済みファイルの検索
削除済みファイルの検索は ntfsundelete というツールを使います。このツールは Linux に標準でついているようなので、例えば Live CD などでフォレンジックを行う際にも活用できるテクニックだと思います。
# ntfsundelete /dev/nbd0p1 Inode Flags %age Date Time Size Filename ----------------------------------------------------------------------- (省略) 22 F..! 0% 1970-01-01 09:00 0 <none> 23 F..! 0% 1970-01-01 09:00 0 <none> 40 FN.. 100% 2019-07-03 21:15 2560 a.EXE 44 F..! 0% 1970-01-01 09:00 0 <none> 45 F..! 0% 1970-01-01 09:00 0 <none> (省略) Files with potentially recoverable content: 1
削除済みのファイル (a.EXE) が見つかりました。
削除済みファイルの抽出
同じく ntfsundelete コマンドのオプションを指定することで抽出できます。まず inode 番号を指定し、delete フラグが立っているファイルなのでそのフラグを外し、指定サイズでファイル出力する、という流れを取ります。-T オプションをつけないとディスクのブロックサイズ (4096byte) で出力されるので注意が必要です。
# ntfsundelete -u -i 40 -o a.EXE -T /dev/nbd0p1 Inode Flags %age Date Size Filename --------------------------------------------------------------- 40 FN.. 0% 2019-07-03 21:15 2560 a.EXE Undeleted 'a.EXE' successfully to a.EXE.2.
MD5 算出
md5sum ですぐですね。
# md5sum a.EXE
3. 標的攻撃 II (マルウェア)
マルウェアを実行したときに追加されるユーザをこたえる問題です。GUI を使う場合は仮想環境で実行したあとに net user コマンドでも実行すればわかります。
CLI の場合でも strings にかけることで net use コマンドでユーザを追加しているコードが平文で出てくるのですぐにわかります。ただ、マルウェアの作りが複雑な場合はこれでは求められないこともあると思うので、本来はデバッガなど使っていく案件かと思われます。
4. 標的攻撃 III (マルウェア)
マルウェアを作った攻撃者グループを答える問題です。Google 検索で追加されたユーザ名を検索すれば一目でわかると思います。これは GUI 使わせてください。
5. 標的攻撃 IV (マルウェア)
追加されたユーザはログイン画面に表示されない設定となっています。レジストリにどんな値を設定すればいいのかを答える問題です。マルウェアを strings にかけた時に出てくる平文のコードの中にレジストリを操作しているものがあり、これのうちの一つが正解となります。
↑ Google 検索してもドストライクな答えがすぐに見つかると思います。
6. 情報漏洩 I (マルウェア)
マルウェアと称されたバッチファイルを解析して、ツール名を答える問題です。難読化されたファイルだったので、ツール名を答えろ=難読化ツール名を答えろ、と解釈してしまい、時間以内に解けませんでした。
こんな感じに % がたくさんあって読めたものではありません。
バッチファイルの変数は %xxx% の形式で扱われることと、値を代入していない変数は意味がないことに気づければ %xxx% を消す、という作業をするだけで答えが見えてきます。
文字列を置換して消すのは sed コマンドが便利です。今回は最小一致させないといけないので、[^%]+ ... % 以外( [^] ) の連続 (+) を使っています。
7. 情報漏洩 II (その他)
バッチファイルは ftp でサーバに XLS ファイルを送信するスクリプトが書かれているので、それを読み解きファイルを取得してフラグを求める問題です。当日は FTP サーバに置いてあったファイルが壊れていたため、取得しても開けない状態でした。
アプローチとしては、まずバッチファイルにはコメント (REM から始まる行) 多く、処理が見えづらいので、コメント行を消します。
echo で temp .txt に FTP クライアントが実行する内容を書いて実行している内容です。なので、echo の部分だけ抜き出します。
見やすくなってきました。echo を消して、
ファイル出力を消し、
mput (multipl put) はファイルを ftp サーバに送るコマンドなので逆方向(ftp サーバからファイルをもらう)mget に置き換えます。
あとはこれで出来た temp.txt を少し linux の ftp クライアント用に成形して、実行させます。
(成形内容)
- Windows の場合は、open
→ ユーザ名 → パスワード でログインして、以降は FTP コマンド実行。 - Linux の場合は、open
→ user でログインして、以降は FTP コマンド実行。
linux の ftp クライアントはコマンドファイルは -n オプションでログインプロンプトを切ったうえでファイルを喰わせれば OK とのこと。
当日は xls ファイルでしたが xlsx に差し替えられていますね。
バッチリ直っていました!
パケット解析の問題
8. 建屋制御 I (ネットワーク)
pcap ファイルから1階工場のロケーション名を答える問題です。CLI のパケット解析は Wireshark の本体?である tshark が便利です。V オプションをつければすべてのパースされた内容を平文で出力してくれるため、grep などと相性が良いです。今回はヒントとして 制御プロトコルであるBACnetにおいて、deviceオブジェクトのlocationプロパティ内に制御システムの場所情報を保持している。 とあるので、これらのキーワードを手掛かりに探します。
単純に location だけで grep しても見えてくるものがあります。
UTF-8 が書かれている行がそれっぽい値のようです。
9. 建屋制御 II (ネットワーク)
前問のファイルを使って温度が書かれているデータを見つける問題です。ちなみに前問の文中にヒントとなる画像がありますので、これも活用していくこととなります。
このヒントからだと1階工場室温モニタの「オブジェクトタイプ」が 0 ということがわかります。これが手掛かりでしょう。pcap ファイルを tshark でパースし、object を探してみると、
Object Type: として色々出てきています。analog-input が 0 なので、これなのでしょう。ただ、これを grep しただけだとほかのフィールドは見えません。
問題文では時間を指定していることから、tshark の解析範囲にフィルタをかけます。今回のパケットは JST の時間が出ており、問題文で指定している UTC からサマータイムを考慮して +08:00 の時差があることを考慮したフィルタです。
出てきたものを less で追いながら 2 桁温度かつ小数点5位まである値 ([0-9]{2}.[0-9]{5}) を探します。「Real」と添え書きされているデータが温度っぽい事が分かってきます。
これのどれかかと思います。
もうちょっと絞り込んでいくなら、前問で 1階工場 になっていた IP アドレスをフィルタを増やしながら探っていき、末尾 101 か 102 の IP アドレスからのデータということを押さえておきます。
で、これをtsharl の解析範囲のフィルタに当ててあげると、一つに絞られます。
Web 問題
10. 暗証保護 (Web)
ローカルからしかアクセスできない password.php の中に書かれたフラグを表示させる問題です。表示させるためのツールとして webchek.php が置かれており、このツールはホストとパスを入れると、そことの通信結果(リクエスト/レスポンスのヘッダ)と最初の1行を表示する機能を持っています。
解説より HTML Header Injection 攻撃を行い、Range ヘッダを追加することで表示する範囲を変えるテクニックを使うとのこと。このテクニックを使うと改行 (%0D%0A) を含む値をリクエストヘッダに入れることにより任意のヘッダを使ってリクエストを投げることができます。
↑こう書いたときに、↓こう解釈されます(青い部分がpathで指定した内容)。最後に改行を2つ入れるのは HTTP リクエストにおいて空白行はリクエストの終了を意味するからです。
また、ホスト部分を localhost にすると、webchecker.php はローカルのファイルを見に行きます。これを利用して localhost の password.php を見に行くと、
期待した通り改行コードが解釈されて処理されているようです。フラグが書かれている行を見たいので、当たりをつけるために Range の値を for で変化させながら探っていきます。シェルスクリプトにおいて数値の計算は$*1 と書かないといけない (2重に括弧で囲う) ので注意が必要でした。
Range が 11 からになったところで2行目が表示され始めました。
そのまま見ていくと admin のパスワードが書かれた行のようなので、表示範囲を広くします(最初から広い範囲で for をぶん回しても良かったかも)。
あとがき
RC4 の部分と vmdk4 の変換 (本 Writeup の場合は qemu-img.exe 使用) を何とかすれば、基本的には CLI で全部解けた事になるかと思います。検証に少し時間かけましたが、qemu や ntfsundelete およびその他の ntfs****** コマンド、tshark など、今まで使ったことのない知識を補充できたので、本 CLI で解いてみた企画は意味あったかな、と思います。
来年はベスト 10 に入れるように頑張りたいです。
*1:var1+var2