Forense (XXIII): Solución Reto InCTF 2020 "LOGarithm"

En este post la solución a uno de los retos de análisis forense de InCTF 2020.

Este reto tiene el título "LOGarithm" y mi valoración sobre su dificultad es ★★★★☆.

Su enunciado, que me he permitido traducir al español, dice lo siguiente:

Nuestra empresa detectó una gran brecha en la seguridad de los datos. Creemos que el sistema de nuestro director Mike seguramente estaba comprometido. Según la declaración de Mike, él asegura que estaba hablando de temas muy confidenciales con otro empleado en el momento de esta brecha. Nuestro equipo recopiló rápidamente tanto el volcado de memoria como el tráfico de red del sistema. Se especula que el adversario podría haber extraído los datos confidenciales de forma bastante "segura". ¿Puedes averiguar qué estaba enviando Mike?

Como recursos asociados al reto se proporcionan dos archivos: Evidence.vmem y capture.pcapng 

Solución: Comienzo por el primero de los archivos, y lo primero que hago, como siempre que se analiza un volcado de memoria con 'Volatility', es identificar el perfil del sistema de la máquina de la que se realizó la adquisición: volatility_2.6_win64_standalone -f Evidence.vmem imageinfo:

A continuación, listo los procesos en formato de árbol para analizar qué dependencias existen entre ellos, de manera que se pueda conocer si un posible malware está haciendo uso de otros procesos del sistema: volatility_2.6_win64_standalone --profile Win7SP1x64 -f Evidence.vmem pstree

Y veo dos procesos sospechosos que podrían haber sido los responsables de la exfiltración de datos.

Seguidamente, intento ver qué archivo se ejecutó en python, y veo un script con un nombre más que sospechoso:  volatility_2.6_win64_standalone --profile Win7SP1x64 -f Evidence.vmem -p 2216 cmdline

Para analizar el contenido de este script (keylogger.py), lo extraigo. En primer lugar, obtengo la dirección física del fichero (PHYSOFFSET): volatility_2.6_win64_standalone --profile=Win7SP1x64 -f Evidence.vmem filescan | findstr keylogger.py

Y, posteriormente, lo extraigo: volatility_2.6_win64_standalone -f Evidence.vmem --profile=Win7SP1x64 dumpfiles --physoffset=0x000000003ee119b0 --dump-dir=script_Python

Al analizar el código fuente del keylogger, puedo ver que el script recopila todas las pulsaciones del teclado y las guarda en el archivo C:/Users/Mike/Desktop/key.log (que se eliminará una vez finalizado el proceso). Cuando se termina la captura de teclas se realiza una XOR de la captura realizada con el contenido de una variable de entorno (t3mp), el resultado se codifica en base64 y se envía a través del puerto 1337 al servidor C2 del atacante (18.140.60.203).

Extraigo el valor de la variable de entorno (t3mp) con el que se ha hecho XOR con la captura de teclas pulsadas: volatility_2.6_win64_standalone>volatility_2.6_win64_standalone -f Evidence.vmem --profile=Win7SP1x64 envars | findstr t3mp

Y ya, para averiguar los datos exfiltrados, únicamente debo hacerme con los datos codificados en base64 que se enviaron al servidor C2 del atacante (18.140.60.203) por el puerto 1337, información que puedo obtener de la captura de tráfico de red que se proporciona en el reto (capture.pcapng).

Y, finalmente, utilizo la herramienta on-line ‘Cyberchef’ para obtener los datos exfiltrados:

Y entre los datos exfiltrados encontramos la solución a este reto: inctf{n3v3r_TrUs7_Sp4m_e_m41Ls}