Contents

ECSC Prequals 2019 - 3615 incident 1

Investigation classique de dump mémoire avec Volatility, issue d’un challenge joué pendant le CTF annuel organisé par l’ANSSI.

Énoncé

Une victime de plus tombée sous le coup d’un rançongiciel. Le paiement de la rançon n’est pas envisagé vu le montant demandé. Vous êtes appelé pour essayer de restaurer les fichiers chiffrés.

Une suite d’éléments est nécessaire pour avancer dans l’investigation et constituer le rapport d’incident. Pour commencer, quel est le nom du fichier exécutable de ce rançongiciel, son identifiant de processus et quel est devenu le nom du fichier flag.docx une fois chiffré ?

Donnez le SHA1 de ce nom avec son extension.

Note : l’image disque fait environ 440 Mo compressée et environ 1.4 Go décompressée. Réponse attendue au format ECSC{nom_du_rançongiciel.exe:PiD:sha1}.

Ressources
  • mem.dmp

Nom du processus

D’abord on récupère les infos du dump mémoire :
volatility -f mem.dmp imageinfo

1
Suggested Profile(s) : Win10x64_10586, Win10x64_14393, Win10x64, Win2016x64_14393, Win10x64_15063 (Instantiated with Win10x64_15063)

Le dump provient donc d’une machine Windows 10. Commençons par chercher le nom du processus malveillant.

On peut lister tous les processus qui ont été lancés sur la machine avec cette commande :
volatility -f mem.dmp --profile=Win10x64_10586 cmdline |grep '.exe' |rev |cut -d '\' -f 1 |rev |awk '{print $1}' |sort -u

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
assistance.exe
assistance.exe"
audiodg.exe
Command
conhost.exe
csrss.exe
dllhost.exe
DumpIt.exe
DumpIt.exe"
dwm.exe
explorer.exe
firefox.exe
firefox.exe"
gecko-crash-server-pipe.4040"
lsass.exe
MpCmdRun.exe
MpCmdRun.exe"
msascui.exe"
MSASCui.exe
msdtc.exe
MsMpEng.exe
MsMpEng.exe"
NisSrv.exe
NisSrv.exe"
notepad.exe
notepad++.exe
notepad++.exe"
OneDrive.exe
RuntimeBroker.exe
SearchFilterHost.exe"
SearchIndexer.
SearchIndexer.exe
SearchUI.exe
SearchUI.exe"
services.exe
sihost.exe
SkypeHost.exe
smss.exe
spoolsv.exe
svchost.exe
taskhostw.exe
userinit.exe
usgthrsvc"
VGAuthService.exe"
vmacthlp.exe
vmacthlp.exe"
vmtoolsd.exe
vmtoolsd.exe"
Windows
wininit.exe
winlogon.exe
wmiprvse.exe
WmiPrvSE.exe
WUDFHost.exe

Parmi eux, le seul qui ait retenu mon attention est assistance.exe. Essayons de trouver autre chose que son nom qui le rendrait suspect.

PID

Après avoir listé les processus, j’ai pour habitude de lister les connexions réseau actives.
volatility -f mem.dmp --profile=Win10x64_10586 netscan

1
2
3
4
5
6
7
8
9
[...]
0xe00012554590     TCPv4    192.168.248.133:49753          213.56.166.109:443   CLOSED           4040     firefox.exe    2019-05-08 19:59:46 UTC+0000
0xe0001264b350     TCPv4    127.0.0.1:49687                127.0.0.1:49688      ESTABLISHED      4736     firefox.exe    2019-05-08 19:59:08 UTC+0000
0xe00012657d10     TCPv4    127.0.0.1:49784                127.0.0.1:49783      ESTABLISHED      270562152                2019-05-08 20:04:22 UTC+0000
0xe0001265ad10     TCPv4    192.168.248.133:49774          192.168.1.25:8080    ESTABLISHED      5208     assistance.exe 2019-05-08 20:00:17 UTC+0000
0xe0001270d120     UDPv6    ::1:1900                       *:*                                   1000     svchost.exe    2019-05-08 19:58:58 UTC+0000
0xe000127e51e0     UDPv4    192.168.248.133:49875          *:*                                   1000     svchost.exe    2019-05-08 19:58:58 UTC+0000
0xe000127ec340     UDPv6    ::1:49874                      *:*                                   1000     svchost.exe    2019-05-08 19:58:58 UTC+0000
[...]

On retrouve le programme assistance.exe, ayant établi une connexion vers 192.168.1.25 sur le port 8080.
C’est le seul programme connecté à une adresse IP du réseau local, on peut considérer qu’il s’agit du ransomware.
On récupère également son PID : 5208.

Fichier chiffré

Il nous reste à déterminer le nom du fichier flag.docx une fois chiffré par assistance.exe.
On revient en arrière et on reprend l’output de cmdline. Dans les processus lancés, on a notepad.exe qui a ouvert le fichier C:\Users\TNKLSAI3TGT7O9\Documents\ZmxhZy5kb2N4.chiffré
On déduit que le ransomware ajoute l’extension ‘.chiffré’ aux fichiers victimes. Quant au nom du fichier, il a l’air d’être en base64.
base64 -d <<< ZmxhZy5kb2N4

1
flag.docx

Il nous suffit de calculer le SHA1 du nom de fichier chiffré pour avoir la 3ème partie du flag.

1
2
thbz@myoboku$ echo -n ZmxhZy5kb2N4.chiffré |sha1sum
c9a12b109a58361ff1381fceccdcdcade3ec595a
Flag
ECSC{assistance.exe:5208:c9a12b109a58361ff1381fceccdcdcade3ec595a}