Write-up HeroCTF - Forensic - We Need You 1/5
Le challenge
CTF : HeroCTF (version 3)
Nom du challenge : We Need You 1/5 (50 points)
Consigne :
Interpol and the FBI have been investigating for over a year now. They are trying to get their hands on two hackers very well known for their ransomware and their ultra efficient botnet.
After long months of investigation, they managed to get their hands on one of their servers. But, when they got it back the PC caught fire because of a defense mechanism set up by the two hackers.
The hard drive could not be saved, but they had time to put the RAM in liquid nitrogen and analyze it later.
You know what you have to do!
For this first step, find the name of the PC!
Format : Hero{Name}
Author : Worty
Write-up
Nous avons en notre possession le fichier "capture.vmem", dump mémoire de la machine du hacker en questions. On doit trouver le hostname de sa machine dans la RAM !
Pour ça, on va utiliser l'incontournable Volatility :
En trois étapes, on peut facilement retrouver ces informations dans le dump :
-
On trouve le format d'image de ce dump mémoire : Win7SP1x86
-
On cherche sur Internet la clé de registre à analyser pour trouver cette informations : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName
-
On affiche la valeur associée à la clé de registre énoncée précédemment (via l'offset du registre et le nom de la clé)
On trouve donc bien le nom de la machine et donc le flag Hero{KANNIBAL}. On aurait aussi pu passer par les variables d'environnement :
root@kali:~/Desktop/Challenge# volatility -f capture.mem --profile=Win7SP1x86 envars | grep COMPUTERNAME
Volatility Foundation Volatility Framework 2.6
408 wininit.exe 0x0028f658 COMPUTERNAME KANNIBAL
472 winlogon.exe 0x00082cd8 COMPUTERNAME KANNIBAL
492 services.exe 0x002b07f0 COMPUTERNAME KANNIBAL
500 lsass.exe 0x001007f0 COMPUTERNAME KANNIBAL