MITRE
以下の文字列が与えられた。
This string was given:
T1495T1152T1155T1144 T1130T1518 flag{T1170T1118T1099T1496T1212_T1531T1080T1127T1020T1081T1208_T1112T1098T1199T1159T1183T1220_T1111T1147T1220}
I did some searching on:
MITRE ATT&CK®
で検索したところ、T1495 はヒットしたが、T1152 はヒットしなかった。
「MITRE T1152」でググると、以下のサイトが見つかった。
As a result, I found T1495, but I couldn't find T1152.
I googled "MITRE T1152" and found this page:
Enterprise Techniques - attack-mitre-japan
このサイトでページ内検索を用いてTと数字4文字の文字列を検索すると、以下の対応が得られた。
I searched for the strings that begins with T and 4 numbers follows within this page, and these relationship:
T1495 Firmware Corruption
T1152 Launchctl
T1155 AppleScript
T1144 Gatekeeper Bypass
T1130 Install Root Certificate
T1518 Software Discovery
T1170 Mshta
T1118 InstallUtil
T1099 Timestomp
T1496 Resource Hijacking
T1212 Exploitation for Credential Access
T1531 Account Access Removal
T1080 Taint Shared Content
T1127 Trusted Developer Utilities
T1020 Automated Exfiltration
T1081 Credentials in Files
T1208 Kerberoasting
T1112 Modify Registry
T1098 Account Manipulation
T1199 Trusted Relationship
T1159 Launch Agent
T1183 Image File Execution Options Injection
T1220 XSL Script Processing
T1111 Two-Factor Authentication Interception
T1147 Hidden Users
T1220 XSL Script Processing
与えられた文字列中の「Tと数字4文字の文字列」をここで対応する名前の頭文字に置換することで、flagが得られた。
I obtained the flag by replacing "the strings begins with T and 4 numbers follows" to the corresponding names in this table.
flag{MITRE_ATTACK_MATLIX_THX}
setodaNote CTF