Desafío 22 de ESET Latinoamérica

Captura de redDesde el Laboratorio de Investigación de ESET Latinoamérica ¡volvemos con nuestros desafíos! Esta vez, necesitamos tu ayuda para resolver una infección.

Una compañía ha detectado un ataque por parte de un código malicioso en varias computadoras de sus empleados. De esta forma, la organización decidió analizar por su cuenta el tráfico de red generado sobre una de las máquinas infectadas.

Luego de la captura de red, el personal de dicha organización pudo evidenciar que se realizaban conexiones a un servidor. Asimismo, notaron que el propio código malicioso descargaba otro archivo de extensión rar. En un intento por reconstruir el comportamiento del malware, intentaron conectarse de forma manual con el mencionado servidor con el fin de poder descargar el archivo. En un primer intento, notaron que el servidor no contestaba las peticiones de la misma forma que lo hacía con el malware.

Ante este impedimento, comenzaron a realizar pruebas sobre el servidor hasta que lograron descargar el archivo necesario del servidor malicioso. Las pruebas se realizaron alterando de forma explícita ciertos parámetros. Se les ha facilitado a los analistas, un archivo pcap (captura de red) que contiene todas las pruebas realizadas por el personal de la compañía. La tarea de ustedes, luego de descargar el archivo pcap especificado anteriormente, es:

  • Explicar sobre qué variable se han realizado las pruebas hasta que se logró la descarga.
  • Encontrar la frase escondida que dice explícitamente la palabra “respuesta”.

La respuesta a este desafío debe brindarse a través de un comentario y consiste en enviar la frase escondida y una explicación de cómo llegó a ella. Aquél participante que conteste en primera lugar será el ganador de una licencia para la última versión de nuestra solución de seguridad ESET Smart Security.

La semana que viene se publicará la solución con los pasos necesarios para resolver el desafío.

¡Buena suerte a todos!

Fernando Catoira
Analista de Seguridad

Autor , ESET

  • Diego chavez

    Hola, el desafio que isieron no se entiende mucho pueden ser un poco mas claro

  • abner aguilera

    se logro la descarga en la variable HTTP 455 GET y la frase escondida es Ok en la linea HTTP 2575

  • luis donis

    frase: /desafio/descarga.rar

    se llego a esta repuesta porque esta claro que el archivo descarga.rar es el código malicioso y la frase es desafio descarga.

  • damian

    La respuesta esta en el archivo pcap

  • hugo

    X mazzz ke trato d descarjar l archbo m es inposivlle de yegar.

    Da 1 alluda amigo

  • Explicar sobre qué variable se han realizado las pruebas hasta que se logró la descarga:
    La variable involucrada en la prueba es “User-Agent”, la cabecera del protocolo HTTP. La prueba fue realizada sobre el script /desafio/validacion.php

    Encontrar la frase escondida que dice explícitamente la palabra “respuesta”:
    “Respuesta: Persevera y triunfarás”, encontrado en un metadato de la imagen extraída del archivo comprimido.

    Saludos,

  • La clave es: QuieroMiLicenciaESET, y esta encodeada en base64 dentro de un HTTP User-Agent. Llegué a ella a analizando las peticiones HTTP generadas desde localhost hacia direcciones de Internet.

  • La contraseña del archivo Descarga.rar es “QuieroMiLicenciaESET” y contiene el texto: “Lo esencial es invisible a los ojos”.

  • Kennedy

    la variable que ellos utilizaron fue Dia 360 en eso se basaron para sacar el numero de dias …..
    y la respuesta es dia 0.804

    feliz tarde

  • Lorddemon

    Variable: User-Agent
    Frase Escondida: QuieroMiLicenciaESET
    Tipo de Codificacion Base64

    Interesante Desafio.

  • Emiliano

    La variable que cambiaba es el agente de usuario de las peticiones que se hacían al servidor, cuando el agente de usuario era UXVpZXJvTWlMaWNlbmNpYUVTRVQ= el servidor redireccionaba a una pagina donde se podía descargar el archivo rar, el mismo estaba cifrado, la contraseña era “QuieroMiLicenciaESET” que es el valor del agente de usuario decodificado en base64, de el RAR se obtenía una imagen que decía “Lo esencial es invisible a los ojos”, pero al abrir la imagen con un editor hexa podía leerse “respuesta: persevera y triunfaras”.

  • SilverNeoX

    NetworkMiner:
    Parameters / User Agent [Variable]
    UXVpZXJvTWlMaWNlbmNpYUVTRVQ= [Base64]
    > QuieroMiLicenciaESET
    > Descarga.rar
    Respuesta: “Lo esencial es invisible a los ojos”

  • “lo ensencial es visible a los ojos”
    abrir el pcap con wireshark
    menu->export->object->http
    seleccionar el archivo Descarga.rar q es el la unica peticion de ese tipo luego de exportarlo obtenemos el archivo el cual tiene contraseña para obtener la contraseña revisamos el header de la petición en User-Agent existe una frase cifrada con base64 al descifrar dice “QuieroMiLicenciaESET” probamos como contraseña del rar y ahi sale la imagen con el mensaje :D muy buen reto :D

  • Gustavo Speranza

    Se realizaron las pruebas sobre la variable UserAgent, la cual resultó correcta con una frase en base64 ( UXVpZXJvTWlMaWNlbmNpYUVTRVQ= ) la cual es ( QuieroMiLicenciaESET ) que es el password para el archivo de imagen dentro del rar (Descarga.rar).
    Extrayendo los metadatos de la imagen podemos ver la frase: “Respuesta: Persevera y triunfarás”.
    Herramientas usadas: NetWitness Free, NetworkMiner, Wireshark y para los metadatos Foca.
    Saludos!!

  • Oscar Hernandez Diaz

    podra ser que estaba analizando una pagina web sobre un archivo rar ya que se muestran algunas HTTP y algunas son TCP lo cual podria ser que solo estaban haciendo una prueba.

    la palabra seria: CET/Desafio.rar HTTP/1.1
    o
    (application/x-rar-compressed)

  • Hernan

    Hola, les envió mi resolución.

    La variable sobre la que se la que se han realizado pruebas de los GETs es el User-Agent.
    User-Agent válido: UXVpZXJvTWlMaWNlbmNpYUVTRVQ=
    decodeado base64: QuieroMiLicenciaESET

    Luego se extrae el archivo descargado del PCAP “descarga.rar”.

    Dado que el mismo se encuentra protegido con contraseña se intenta con el User-Agent decodeado:
    Contraseña del archivo descarga.rar es “QuieroMiLicenciaESET”

    El archivo contenido por “descarga.rar” es una imagen “Imagen.jpg” la cual tiene esteganografía aplicada. Luego de analizar el archivo “Imagen.jpg” se determina que la respuesta es: Persevera y triunfaras

    Saludos,
    Hernán

  • Kagure

    1. descarge el archivo
    2. Abri el archivo en wireshark
    3. Fui a File –> Export –> Object –> HTTP
    Mire todos los archivos presentes entre esos uno con nombre Descarga.rar lo exporte.
    4. abri Descarga.rar y vi en su interior un archivo de imagen con extension jpg intente abrirlo pero pedia contraseña, asi que retorene a los archivos y vi una que se llama validacion.php y varios intentos de validacion me fui a numero 31 que era la validacion correcta.

    5. Di click derecho Follow TCP Stream, revise y el user agent estaba diferente de los demas y por el = al final de la cadena supuse que era base64 fui a un decoder online y me dio el siguiente texto QuieroMiLicenciaESET.

    6. Pense podia ser la clave del archivo Descarga.rar probe y funciono pude ver la imagen con el siguiente texto Lo esencial es invisible a los ojos.

    7. Con esta frase en mente, abri la imagen con un editor hexadecimal y muy cerca de la cabecera me encontre con Respuesta: Persevera y triunfarás

    UXVpZXJvTWlMaWNlbmNpYUVTRVQ=
    QuieroMiLicenciaESET

    Respuesta: Persevera y triunfarás

  • Kagure

    Respuesta: Persevera y triunfarás

    1. descarge el archivo
    2. Abri el archivo en wireshark
    3. Fui a File –> Export –> Object –> HTTP
    Mire todos los archivos presentes entre esos uno con nombre Descarga.rar lo exporte.
    4. abri Descarga.rar y vi en su interior un archivo de imagen con extension jpg intente abrirlo pero pedia contraseña, asi que retorne a los archivos y vi una que se llama validacion.php y varios intentos de validacion me fui a numero 31 que era la validacion correcta.

    5. Di click derecho Follow TCP Stream, revise y el user agent estaba diferente de los demas y por el = al final de la cadena supuse que era base64 fui a un decoder online y me dio el siguiente texto QuieroMiLicenciaESET.

    6. Pense podia ser la clave del archivo Descarga.rar probe y funciono pude ver la imagen con el siguiente texto Lo esencial es invisible a los ojos.

    7. Con esta frase en mente, abri la imagen con un editor hexadecimal y muy cerca de la cabecera me encontre con Respuesta: Persevera y triunfarás

    UXVpZXJvTWlMaWNlbmNpYUVTRVQ=
    QuieroMiLicenciaESET

  • Mariano Marino

    Estimados, aca les paso la respuesta al desafio. El análisis se hizo con la aplicación Wireshark

    1. La variable que se utilizó para permitir la descarga del archivo en cuestión es el User-Agent. Al aplicar diferentes string invalidos (navegadores) el resultado era una página web que solo decia colores (negro, violeta, etc). Luego, al ingresar el correcto UXVpZXJvTWlMaWNlbmNpYUVTRVQ= se permitia la descarga. Este archivo estaba protegido con contraseña.
    2. Al analizar el string del User-Agent utilizado se encontró que estaba codificado en base64. Al realizar la decodificación, el string resultante es QuieroMiLicenciaESET
    3. Se utiliza QuieroMiLicenciaESET como contraseña del archivo en cuestión, dando como respuesta Lo escencial es invisible a los ojos, un fragmento del libro “El Principito”.

    Muchas gracias por organizar estos desafios

    Les dejo un saludo

    Mariano Marino.

Síguenos