*Nota: desafío finalizado. Al final del post encontrarás el enlace a la solución del desafío y podrás ver quiénes fueron los ganadores.
José es un empleado de Evil Corp, Inc. y ejecutó un archivo que le llego a través del correo con la esperanza de instalar un software que elimine posibles amenazas de su computadora. Desafortunadamente, esto no fue así y terminó infectando su equipo con malware.
Nos informó que el malware le está mostrando mensajes raros en su computadora, como por ejemplo:
- [+] Removing file: …
- Launching ransomware module.
- start scan
Si decides aceptar el desafío, te encargamos ayudar a José analizando esta muestra y encontrando la flag que revela qué está intentando propagar el malware.
Las instrucciones son:
- Descargar el archivo antibugs-v2.0.zip que contiene el ejecutable sospechoso (contraseña: infected).
- Analizarlo cuidadosamente. Recuerda que es un malware y puedes infectarte tú también. Una máquina virtual sería muy conveniente para el análisis.
- Encuentra la flag del desafío.
- Publica la flag en los comentarios de este post explicando también los pasos y herramientas que has utilizado para conseguirla.
Pasados unos días desde la publicación de este post iremos actualizando el mismo añadiendo algunas pistas.
Desde hoy y hasta el viernes 12 de marzo, estaremos evacuando dudas que nos hagan llegar en los comentarios. Ese día publicaremos la solución y los nombres de los ganadores. Hasta esa fecha no publicaremos las respuestas correctas o aquellas que contengan una parte de la solución para dejar jugar al resto de los participantes, aunque sí leeremos las preguntas y responderemos, algunas veces editando el texto para no dar mucha información.
Los tres participantes que primero publiquen la respuesta correcta con la flag en la sección de comentarios se llevará como premio una licencia de ESET Mobile Security para Android. Además, el primero en resolver el desafío obtendrá acceso para realizar uno de los cursos disponibles en nuestra plataforma Academia ESET.
Algunas pistas:
- Las secciones de este archivo son extrañas, no se parece a las más comunes de un archivo ejecutable de Windows.
- Presta atención a las strings del programa, hay palabras que llaman la atención. Estas se relacionan con un lenguaje de programación en particular.
- Para complejizar el análisis, los malware suelen agregar dentro del source code código “basura”. Concentrarse en el flujo principal del malware.
- Parece ser que está tratando de enviar un payload, ¿Cuál será su contenido?
*El desafío ya finalizó. En el siguiente enlace encontrarás la solución y compartimos quienes fueron los ganadores. Podrás encontrar más desafíos aquí.