Contenido principal

WriteUp Forensics300 - Codegate 2011

Marzo 6, 2011

Este fin de semana nuestro grupo NULL-Life estuvo participando en el juego captura la bandera (CTF) de Codegate 2011.
Las categorías en esta ocasión fueron Vulnerab, Binary, Crypto, Forensics, Network e Issues.
De los 27 problemas planteados solo alcanzamos a realizar 14 para un total de 2600 puntos y lograr la posición 30 de 178 equipos que participaron, inclusive llegamos a quedar como el primer equipo de latinos, así que muchos ánimos para los integrantes del equipo, hay restos de cosas por mejorar!
También debo aclarar que el grupo no representa ninguna institución/región/país y que los integrantes somos de diferentes países incluyendo a Argentina, Colombia, México y Perú.

Fernando ha publicado un corto artículo sobre nuestra participación.

Sin más que decir, les presento la forma en que desarrollamos el tercer reto de la categoría Forensics.

Descripción

we are investigating the military secret's leaking.
we found traffic with leaking secrets while monitoring the network.
Security team was sent to investigate, immediately. But, there was no one present.
It was found by forensics team that all the leaked secrets were completely deleted by wiping tool.
And the team has found a leaked trace using potable device.
Before long, the suspect was detained. But he denies allegations.

Now, the investigation is focused on potable device.
The given files are acquired registry files from system.
The estimated time of the incident is Mon, 21 February 2011 15:24:28(KST).
Find a trace of portable device used for the incident.

The Key : "Vendor name" + "volume name" + "serial number" (please write in capitals)

Down (Archivo F8884B5396EAFE05E798BAB5F19D2E3F en Repositorio Codegate 2011)

Resolución

Extraemos los archivos quedando con la siguiente estructura


Cada archivo es de tipo Windows NT Registry Hive o "grupo lógico de claves, subclaves y valores en el registro que tienen un conjunto de archivos de soporte que contienen respaldos de sus datos".

Debemos primero buscar un editor de estos tipos de archivo encontrando la publicación de Nuno Brito con su editor de registro en crudo y la de erwan.l con su editor offline usando la librería de Windows Offreg.dll

Luego de abrir alguno de los registros y siguiendo la descripción, debemos encontrar un dispositivo extraíble el cual fue conectado al equipo y que posiblemente fue el causante del incidente. Suponemos que fue el último dispositivo conectado.

Buscando localmente encontré dos claves donde se guardan los dispositivos en el registro.
HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices
HKLM\SYSTEM\ControlSet001\Enum\WpdBusEnumRoot\UMB

Con la utilidad de Nuno Brito debemos habilitar la opción Show Details desde el menú Options -> Configuration para obtener la fecha de modificación de la clave escogida.

Podemos ver la diferencia entre ver el tiempo de modificación desde un editor hexadecimal y desde la herramienta de Nuno.

Buscamos el último dispositivo conectado guiándonos con el timestamp y encontramos la clave

La respuesta como nos pide el problema es: Nombre del fabricante + Nombre del volumen o label + Serial del dispositivo.

Respuesta

CORSAIRPR0N33RDDF08FB7A86075

Archivado en: Retos informáticos, Seguridad |

8 comentarios

  1. hecky Marzo 6, 2011 @ 7:56 pm

    NULL-Life xDD excelente jajaja Vaya esa herramienta era completamente desconocida...gracias como siempre por enseñar :D

  2. Phicar Marzo 6, 2011 @ 9:06 pm

    xDDD lo felicito parce :)...Hicieron buen trabajo, como siempre. Uno ahi si humilde xDDD estaban complicados.

  3. Sysroot Marzo 6, 2011 @ 9:20 pm

    Gracias a ambos!
    Claro, y pues tienes la razón Phicar, la mayoría estuvieron difíciles, es cosa de seguir leyendo y practicando.

  4. GozuByt3s Marzo 6, 2011 @ 10:34 pm

    Felicitaciones por el alto puntaje que obtuvieron tomando en cuenta la dificultad de los retos :).

  5. paipai Marzo 7, 2011 @ 12:07 pm

    enhorabuena a todos, estaban dificiles los retos, yo quede el #41

  6. Sysroot Marzo 7, 2011 @ 9:33 pm

    Gracias Gozu y Pai!
    Pai, eres de Big-Daddy? también obtuvieron buen puntaje, qué problemas hicieron?
    Sé que estas ya en un grupo, pero no sobra decir, que eres bienvenido en el nuestro ;)

  7. paipai Marzo 8, 2011 @ 12:27 pm

    Hola, estaba en wild, nos apuntamos en el ultimo momento.

    ahora mismo, ni me acuerdo cuales fueron los qeu resolvimos, jeje, ya te dire un dia que te pille en el msn

  8. Sysroot Marzo 8, 2011 @ 6:26 pm

    Ah listo!, pues bueno, todavía sigue en pie la propuesta de que entres al equipo, ya al msn no entro mucho, si queres podemos hablar por gmail :D

Deja un comentario