組織内の通信を監視している部署からマルウェア感染した端末から他にはない不審な通信が発生していたことが分かり、急ぎ解析してほしいを依頼がありました。どうやら、通信自体は組織内で許可されているプロトコルが使用されていたため外部に通信できた可能性もあり焦っているようです。
添付されたファイルを解析し、フラグを入手してください。
digdig_99aa521488e502c79837fe21b82786f9344dd938.zip
配布されたファイルをWiresharkで開くとDNSとの通信が見える。
明らかにサブドメインにHexと思しき記述がある。
よく見ると005aa0の跡が連続した数字になっていることもわかる。
以下のようにstringsで抽出する。
$ strings digdig.pcap
google
D(6r
google
00500000LFI2358AA31
setodanote
00500000LFI2358AA31
setodanote
getf?V
~~~重複と不要な文字列を取り除き、ソートすると以下のようであった。
005aa000666c616720697320
005aa001666c61677b546869
005aa002735f69735f44414d
005aa0034d595f464c41477d
005aa00420666c6167206973
005aa00520666c61677b4e69
005aa00663655f7472795f53
005aa0076f7272795f666f72
005aa0085f746861747d2066
005aa0096c61672069732066
005aa00a6c61677b444e535f
005aa00b5333637572313779
005aa00c5f5431303731217d
005aa00d20666c6167206973
005aa00e20666c61677b3768
005aa00f335f6b33795f3135
005aa0105f35336375723137
005aa011797d323232323232
先頭のナンバリングを取り除き、ここでHex to ASCIIにかけると次のようになった。
666c616720697320
666c61677b546869
735f69735f44414d
4d595f464c41477d
20666c6167206973
20666c61677b4e69
63655f7472795f53
6f7272795f666f72
5f746861747d2066
6c61672069732066
6c61677b444e535f
5333637572313779
5f5431303731217d
20666c6167206973
20666c61677b3768
335f6b33795f3135
5f35336375723137
797d323232323232
flag is flag{This_is_DAMMY_FLAG} flag is flag{Nice_try_Sorry_for_that} flag is flag{DNS_S3cur17y_T1071!} flag is flag{7h3_k3y_15_53cur17y}222222
ダミーもあるが最後からひとつ前のものがflagだった。