TheZeal0t's Cryptoware IOC 1
ELFファイル zealotcrypt-02.bin
が与えられ、"Indicator of Compromise" (IOC) を要求された。
このファイルをGhidraで逆コンパイルして見ると、
main
関数でDAT_0828abce
の内容をデコードした後、0x5a
をxorし、main.fetchKey();
を呼び出しているようだった。
DAT_0828abce
の内容は以下のものであった。
An ELF file zealotcrypt-02.bin
was given, and "Indicator of Compromise" (IOC) was asked.
Decompiling the file via Ghidra,
I found the function main
decoding contents in DAT_0828abce
, performing exclusive-or with 0x5a
, and calling main.fetchKey();
.
The contents in DAT_0828abce
was:
322e2e2a607575333429333e33352f29743e3f3b3e3c3b393f74333575203f3b36352e3928232a2e773b3f2977313f23742e222e
これをCyberChefでデコードし、5a
とのXORをとった。
I decoded this using CyberChef and applied "XOR" with 5a
.
From Hex, XOR - CyberChef
結果は以下のものになった。
This is the result:
http://insidious.deadface.io/zealotcrypt-aes-key.txt
このURLにアクセスすると scoobiedoobiedoo
と書かれたファイルが得られたが、 flag{scoobiedoobiedoo}
はIncorrectになった。
このURLをそのままflag{}
で囲むことで、flagが得られた。
Accessing the URL yielded a file saying scoobiedoobiedoo
, but flag{scoobiedoobiedoo}
was judged as Incorrect.
I obtained the flag by adding flag{}
to this URL itself.
flag{http://insidious.deadface.io/zealotcrypt-aes-key.txt}
writeup by MikeCAT
DEADFACE CTF