[日本語] [English]

TheZeal0t's Cryptoware IOC 1

ELFファイル zealotcrypt-02.bin が与えられ、"Indicator of Compromise" (IOC) を要求された。

このファイルをGhidraで逆コンパイルして見ると、 main関数でDAT_0828abceの内容をデコードした後、0x5aをxorし、main.fetchKey();を呼び出しているようだった。
DAT_0828abceの内容は以下のものであった。

322e2e2a607575333429333e33352f29743e3f3b3e3c3b393f74333575203f3b36352e3928232a2e773b3f2977313f23742e222e

これをCyberChefでデコードし、5aとのXORをとった。

From Hex, XOR - CyberChef

結果は以下のものになった。

http://insidious.deadface.io/zealotcrypt-aes-key.txt

このURLにアクセスすると scoobiedoobiedoo と書かれたファイルが得られたが、 flag{scoobiedoobiedoo} はIncorrectになった。
このURLをそのままflag{}で囲むことで、flagが得られた。

flag{http://insidious.deadface.io/zealotcrypt-aes-key.txt}

writeup by MikeCAT

DEADFACE CTF