Trololo

Description

A computer belonging to a new company has been infected by a malware. This is a known version of a cryptolocker software, that uses a irc server to received commands. Let's try to grab its password...

The challenge is available at : http://static.quals.nuitduhack.com/trololo.pcap


Details

Points
100
Category
Inforensic
Validations
74

Attachments

This challenge has no attachment.

ダウンロードしたファイルはパケットキャプチャしたファイルです。Wiresharkで開いて、「File」→「Export Objects」→「HTTP」を選択します。config.encファイルを選択して保存します。


no title

抽出したconfig.encファイルをバイナリエディタで見てみます。全てのバイトが80~FFの間に入っているので、ビットを反転することですべてASCIIコードの範囲になりそうです。どうなるかやってみましょう。
 ADDRESS   00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F   0123456789ABCDEF
------------------------------------------------------------------------------
 00000000  C3 C0 87 92 93 DF 89 9A 8D 8C 96 90 91 C2 DD CE   テタ��那凹轟鱒堕ンホ
 00000010  D1 CF DD DF 9A 91 9C 90 9B 96 91 98 C2 DD 8A 8B   ムマン゚囁恊尠遭ツン葛
 00000020  99 D2 C7 DD DF C0 C1 F5 C3 9C 90 91 99 96 98 8A   參ヌン゚タチ恊鎗迄轄
(略)
次のRubyプログラムでビット反転させたデータをファイルに出力します。
w = open("aaa.txt", "wb")
f = open("config.enc", "rb")
f.each_byte do |c|
    w.write([c ^ 0xff].pack('C'))
end
f.close
w.close
実行すると次のファイルが出来ます。
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
        <mailSettings>
            <smtp from="crypto@ndh2k16.com">
                <network host="hermes.ndh2k16.local" port="25"/>
            </smtp>
        </mailSettings>
        <NDHCrypto.Settings>
            <setting name="EXT_TO_ENCRYPT" serializeAs="String">
                <value>docx:doc:xls:xlsx:pdf:jpg:odt:ods:png:bmp:avi:mp4</value>
            </setting>
            <setting name="KEY" serializeAs="String">
                <value>AD784DA62D1DDBB19B7F0500A52DD15C0BD70F924A5EF7C3CEA134C428747AFB</value>
            </setting>
            <setting name="SUBJECT" serializeAs="String">
                <value>New infected</value>
            </setting>
            <setting name="IRC_SRV" serializeAs="String">
                <value>irc://irc.ndh2k16.com:6667</value>
            </setting>
            <setting name="IRC_CHAN" serializeAs="String">
                <valude>#Crypt0NDH2K16</value>
            </setting>
            <setting name="IRC_CHANPASS" serializeAs="String">
                <value>orudeujieh6oonge4She</value>
            </setting>
        </NDHCrypto.Settings>
</configuration>
IRC_CHANPASS(パスワード)の値がフラグになります。

したがって、フラグは、

orudeujieh6oonge4She

です。