AKTUELLA meddelanden

SecuureIT hjälper samhälle, företag och organisationer att säkra upp system, Internet och kommunikation inför framtida och nutida hot. Vi verkar för frihet, transparens och säkerhet. Vi hämtar våra viktiga säkerhetsmeddelanden från CERT-SE.

Om CERT-SE
CERT-SE är Sveriges nationella CSIRT (Computer Security Incident Response Team) med uppgift att stödja samhället i arbetet med att hantera och förebygga it-incidenter. Verksamheten bedrivs vid Myndigheten för samhällsskydd och beredskap (MSB).

Genomgång av CERT-SE CTF2021 (snart dags igen!)

Den 1 oktober inleds den europeiska cybersäkerhetsmånaden som sätter fokus på cybersäkerhetsfrågor, både för privatpersoner och företag. Enligt tradition är det även det datumet då CERT-SE publicerar sin årliga CTF-utmaning (capture the flag). Så håll utkik!

Som inspiration (och uppvärmning) publicerar vi här ett förslag på lösning av förra årets CTF-utmaning.

Utmaningen gick ut på att i en dump av nätverkstrafik hitta ”flaggor”, totalt sex stycken.

Har du själv missat utmaningen och vill testa att lösa den innan du läser genomgången hittar du den här. [1]

Vi återkommer som sagt med en ny CTF i oktober igen. Hoppas ni är med och försöker lösa även den.

Ett exempel på hur du löser CERT-SE CTF2021

Börja med att packa upp filen och få ut filen med nätverkstrafik, en s.k. pcap. Denna fil innehåller de flaggor vi är ute efter men också en chat som kan ge ledtrådar till var man kan hitta flaggorna.

Flagga 1

Leta i filen efter ”CTF” med t.ex. kommandot strings. Då hittas första flaggan.

Flagga 2

Vid analys av nätverkstrafiken finns olika verktyg att tillgå, ett vanligt förekommande (och gratis tillgängligt på internet) är Wireshark. [2]

Hitta filen broadcast.7z som skickats med FTP. Denna 7z är lösenordsskyddad. Listar man filerna i 7z-arkivet så hittar man:

2021-09-23 07:50:06 ....A            0            0  Zipper/.secret/0/3
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/4/6
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/5/11
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/D/7
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/c/1
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/h/2
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/j/10
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/k/4
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/l/5
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/m/8
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/o/9
2021-09-23 07:53:12 ....A           29           48  Zipper/.secret/-/flag.txt
2021-05-11 12:07:28 ....A      3255904      1066768  Zipper/.secret/!/broadcast.wav

Sorterar man i nummerordning får man:

2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/c/1
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/h/2
2021-09-23 07:50:06 ....A            0            0  Zipper/.secret/0/3
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/k/4
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/l/5
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/4/6
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/D/7
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/m/8
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/o/9
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/j/10
2021-09-23 07:51:10 ....A            0            0  Zipper/.secret/5/11

Lösenordet är alltså: ”ch0kl4Dmoj5”

Detta lösenord används för att packa upp filen och få ut flag.txt som innehåller en flagga.

Flagga 3

I denna 7z finns även filen broadcast.wav. Denna ljudfil är en SSTV-överföring och ger resultatet:

Flagga4

I pcap:en finns en webbsida med en bild som är en QR-kod. Läser man av denna får man ”aHR0cHM6Ly9iaXQubHkvM2RTQUxndQ==”. Avkodar man denna med base64 får man fram länken https://bit.ly/3dSALgu, som leder till en YouTube-video.

Dock innehåller bilden ett gömt meddelande. Använd t.ex. kommandot steghide för att extrahera detta.

Flagga 5

I pcap:en finns en fil som heter star!6.kmz. Detta är en kartfil som går att läsa i t.ex. Google Earth och som visar området runt Tomteboda i Solna tillsammans med lite linjer. Lägger man ned kartan så framkommer bokstäver.

Läser man av dessa får man fram bokstäverna ”XGU[IVHRORVMH]” vilket genom avkodning med atbash ger flaggan.

Flagga 6

Hitta filen memdump4.7z och extrahera innehållet.

För analys av minnesdumpar finns open source-verktyget volatility. I detta exempel används volatility2.

Volatility2 kräver att användaren anger en profil som motsvarar vilket operativsystem + version minnesdumpen har. Detta går att ta reda på genom flera olika sätt, en ledtråd ges åtminstone i IRC-chatten där dumpen benämns som en debian-dump. Då man listat ut vilken debian-version som nyttjats kan man antingen skapa en egen profil eller ladda ner en befintlig sådan från internet.

Med profilen på plats finns flera spännande moduler i volatility för att komma framåt i uppgiften. Bland annat kan man testa linux_bash för att se vilka kommandon som körts precis innan minnesdumpen togs. Där avslöjas att någon startat en fil med namnet SuperSecretLogonTool.

Genom modulen linux_enumerate_files kan vi undersöka ifall filen SuperSecretLogonTool återfinns i minnet och med modulen linux_find_file kan vi extrahera binären till vår egen dator.

Med kommandot file noterar vi att filen är av typen ELF och genom att köra den startas ett program som visar CERT-SE:s logga och efterfrågar ett lösenord. Tyvärr fungerar inga av de lösenord som förekommer i nätverkstrafiken.

Genom att analysera programmet i en debugger (exempelvis gdb), går det notera att det finns tre funktioner av intresse: main, print_cert_se och print_flag. Undersöker man varje funktion var för sig inser man snart att programmet startar i main, men gör aldrig något anrop till funktionen print_flag. Däremot finns ingenting som hindrar oss från att sätta en brytpunkt omedelbart när programmet startar och för att sedan hoppa till funktionen print_flag, vilket leder till att programmet ger ifrån sig flaggan för uppgiften.

CERT-SE vill med detta tacka alla som engagerat sig, spelat vår CTF, delat på forum och diskuterat. Vi ser fram emot att ni även delar i årets som kommer i månadsskiftet september/oktober.

Länkar

[1] https://www.cert.se/2021/09/cert-se-ctf2021
[2] https://www.wireshark.org/

Se över ert skydd. Anlita en säkerhetsexpert och sätt in en framtidssäker åtgärdsplan med ett aktivt skydd.

Vi är ett säkerhetsföretag baserat i Stockholm, Sverige. Vi har arbetat med säkerhet på Internet i två decennier. Vårt fokus har varit Open Source och är än idag. Vi arbetar dock dagligen även med slutna system.

Varje sekund stoppar vi desinformation, virus, maleware, intrång, attacker. Många av våra säkerhetssystem avvärjer även fientligt hot med hjälp av AI.

Våra säkerhetsexperter besitter en enorm erfarenhet och har ett extremt stort kontaktnät inom IT-säkerhetsbranschen. Våra medarbetare är även med i flertal Bug Bounty program för att säkra olika system.

Anlita oss

Förebyggande arbete innan det händer

Se över skydd

Anlita säkerhetsexperter för att se över era system, web, mailsäkerhet och rutiner. Våra experter hjälper er snabbt hitta era största sårbarheter.

Åtgärdsplan

Om ni anlitat någon av våra säkerhetsexperter kommer ni få en åtgärdsplan som hjälper er att prioritera säkerheten och välja direkta aktiva åtgärder.

Aktivt Skydd

Ett aktivt skydd kan exempelvis bestå av nya säkerhetsrutiner, backupsäkerhetslösningar och ett aktivt DNS-skydd för web och mail och enheter.

Skaffa aktivt skydd

Vi arbetar för ett säkert samhälle

Våra IT-systemen är skapade av oss människor och alla system har därav sårbarheter.

Secuureit finns här för att ge säkerhet i vardagen, men även vid hjälp då något inträffat. Vi hjälper till att säkra kommunikationen men även att aktivt säkra system centralt och på enhetsnivå från fientliga angrepp.