Desafío finalizado. Al final del post encontrarás el enlace a la solución del desafío.
Nuestro equipo de CyberSOC respondió a una extraña detección en varios de los servidores principales de Evil Corp, Inc. Cuando finalmente pudimos recuperar las muestras en el laboratorio, nos encontramos con un binario realmente extraño y decidimos llamar a este malware AnomalyLand.
Es común que los actores de amenazas avanzadas sean creativos a la hora de ocultar la información que desean exfiltrar de una red altamente protegida, por eso necesitamos tu ayuda.
Si deseas aceptar este desafío, ayúdanos a encontrar la flag oculta que se encuentra dentro de esta muestra y a descifrarla. Pero cuidado, ¡no todo es lo que parece! Este desafío pondrá a prueba tu instinto y tu capacidad de hacer ingeniería inversa sin analizar ningún código.
Instrucciones
- Descarga el archivo AnomalyLand.zip que contiene al archivo AnomalyLand y descomprímelo utilizando la contraseña: infected
- Analiza y descubre qué es realmente el archivo AnomalyLand. En su interior existe un archivo con una pista que te ayudará a descifrar la flag que se encuentra oculta en el PE.
- ¿Acaso el PE está corrupto? Encuentra la manera de remediar el problema para poder restaurar su estructura y así podrás seguir las pistas que te llevaran hacia la segunda anomalía.
- En la segunda anomalía, algo no es lo que parece, tendrás que descubrir que es lo que falta y restaurarlo para poder ver el camino a la flag.
Los tres participantes que primero publiquen la respuesta correcta con la flag en la sección comentarios se llevarán como premio una licencia de ESET NOD32.
Hasta que no se cumpla la fecha de finalización del desafío no publicaremos las respuestas correctas o aquellas que contengan una parte de la solución para que todos puedan seguir participando, pero sí estaremos respondiendo dudas que nos lleguen en los comentarios, algunas veces editando el texto para no dar mucha información.
Además, con el transcurso de los días iremos dando pistas para poder resolver las distintas anomalías.
Pistas
- La flag descifrada comienza con la letra “E”.
-
Quisiera saber que sucede si intentas abrir el archivo descomprimido "AnomalyLand" con 7-zip/WinRAR/WinZip, quien sabe... tal vez te lleve al origen de la anomalía. ¡Los errores son indicadores muy interesantes!
- Si intentaste abrir AnomalyLand como dijimos en la pista anterior, habrás notado que en la lista de archivos hay una extraña entrada "..".¡Un archivo con ese nombre no debería ser posible! ¿Será que AnomalyLand tiene un formato de archivo que oculta otro archivo con un nombre inválido? Un editor hexadecimal debería ser muy útil para resolver este problema! ¡Si logras abrir ese archivo oculto, podrás obtener la pista!
-
Si pudiste cambiar el nombre inválido y descubriste que la pista es muy simple... ¡es por que lo es! Ahora solo tienes que ir al ejecutable y observar bien "file header" y "optional header" para ver si hay algo que no está bien. Una vez que logres corregirlo, aparecerán la pista que te guiará hacia otro lugar.
*El desafío ya finalizó. En el siguiente enlace encontrarás la solución. Podrás encontrar más desafíos aquí.