Memlabs lab6 – Walkthrough

Ciao a tutti! oggi chiudiamo la serie di post sul laboratorio MemLabs con l’ultima challenge ( in teoria la più difficile). Iniziamo con il download del dump di memoria del Lab6!

Come sempre leggiamo bene lo scenario, e capiamo cosa cercare prima di analizzare a tappeto ogni possibile evidenza! Nella presentazione infatti ci viene dato un indizio ovvero che la persona indiziata, David utilizzava la macchina per comunicare in internet con i suoi collaboratori!

Da questo indizio possiamo gia focalizzarci su alcuni artefatti, tra cui la cronologia web dei browser… andiamo più in profondità e iniziamo l’analisi:

Ora con il profilo corretto estrapoliamo i processi in esecuzione:

Emergono già diversi processi di Firefox e Chrome, ci torneranno utili per l’indagine.

Provo con un plugin nuovo “screenshot” che mostra ciò che era stampato a video, l’output lo raccolgo in una cartella e analizzo i file singolarmente.

Un file sembra interessante: session_1.WinSta0.Default.png

Se analizziamo e ingrandiamo meglio l’immagine:

Ottimo, dall’immagine qui sopra posso estrarre due informazioni:

• Un indirizzo di posta elettronica: davidbenjamin939@gmail.com
• Mega Drive Key – probabilmente per un download di qualcosa…

Ora, continuiamo la nostra indagine come sempre estraendo i file presenti in memoria e salviamo l’ouput in un file di testo:

vol.py -f MemoryDump_Lab6.raw –profile=Win7SP1x64 filescan>filescan2.txt

Filtro il file con la parola history!

procedo all’estrazione del file della cronologia di Google:

vol.py -f MemoryDump_Lab6.raw –profile=Win7SP1x64 dumpfiles -Q 0x000000005da5a610 -D

Il file della cronologia di google può essere navigato con un semplice SQLite Viewer:

Ho trovato un url interessante di pastebin, approfondiamo e vediamo cosa possiamo estrarre di utile:

Un link a gogole docs …. vediamo un po’:

https://www.google.com/url?q=https://docs.google.com/document/d/1lptcksPt1l_w7Y29V4o6vkEnHToAPqiCkgNNZfS9rCk/edit?usp%3Dsharing&sa=D&source=hangouts&ust=1566208765722000&usg=AFQjCNHXd6Ck6F22MNQEsxdZo21JayPKug

leggendo il file ho trovato un link a Mega: https://mega.nz/#!SrxQxYTQ

Aprendo il link purtroppo ci chiede una password, dopo MOLTISSIMI tentativi, finalmente la combo strings+grep “Mega Drive Key” (contenuta nello screenshot dell’immagine) ha dato i suoi frutti:

Ho estratto con successo la chiave: zyWxCjCYYSEMA-hZe552qWVXiPwa5TecODbjnsscMIU

Scarico quindi il file immagine dal link di mega dopo aver usato la key per la decrittazione.

Aprendo l’immagine “flag_.png” mi dice che il file non è supportato …

Decido di usare il comando “file” per accertarmi della natura del file, ma non vengono restituite informazioni utili. Li, è sorto il dubbio che si trattasse di un file corrotto, il fatto di non riconoscere la tipologia di file mi ha fatto pensare a un errore nell’intestazione del “png”.

Verificando con google ho potuto notare che c’era un carattere sbagliato.. l’intestazione prevede la dicityura “IHDR” e non “iHDR” per tanto provvedo alla sostituzione del carattere, et voilà! l’immagine ora si apre correttamente:

Di seguito mostro lo screenshot del comando per verificare la natura del file, prima e dopo la modifica sull’intestazione:

Siamo arrivati a ottenere una parte della bandiera! inctf{thi5_cH4LL3Ng3_!s_g0nn4_b3_?_

Ora, torniamo ai processi in esecuzione, e un altro processo può sembrare interessante: WINRAR.exe con PID 3716:

con il plugin cmdline verifichiamo che cosa aveva in memoria in quel momento:

Un file “flag.rar”, estraiamolo con dumpfiles, ma prima recuperiamo l’offset del file dalla lista filescan2.txt:

Ora dobbiamo estrarre il file flag.rar ma ci viene chiesta nuovamente una password..

Dopo una serie di plugin e approfondimenti effettuati, con il comando envars + grep “RAR” ho estratto la password richiesta per estrarre l’archivio:

Ora usiamo la stringa “easypeasyvirus” per estrarre l’immagine dall’archivio:

Abbiamo ottenuto la parte mancante della bandiera aN_Am4zING_!_i_gU3Ss???}

non ci resta che unire le due parti:

inctf{thi5_cH4LL3Ng3_!s_g0nn4_b3_?_aN_Am4zING_!_i_gU3Ss???}

Dopo qualche ora di analisi ( xD ) abbiamo terminato la challenge e devo dire che questa è stata davvero tosta, prevedeva l’utilizzo e dimestichezza con diversi tool. Inoltre, il continuo approfondimento di varie “piste” portava a perdersi in informazioni e dati che dopo tanta fatica alla fine non risultavano utili.

Questa serie sul Memlabs è terminata, ma arriveranno presto altri post!

Alla prossima!