Después de una semana de la publicación del desafío 26 de ESET Latinoamérica, felicitamos a Emiliano del Castillo, quien fue el primero en solucionar el desafío. Además queremos resaltar el buen trabajo de Daniel Correa, Abraham Diaz, Juan Esteban Valencia Pantoja, Marcelo Pedrozo, Henry Sanchez y Everth J. Gallegos Puma quienes también llegaron a solucionar el desafío y encontraron que tipo de información se estaba filtrando.
Ahora bien, veamos paso a paso cómo resolver el desafío 26. Nuestro punto de partida es un archivo pcap, el cual si analizamos un poco con una herramienta como Network Miner o cualquier otro analizador de tráfico, llegamos a encontrar que en la comunicación hay dos archivos.
Uno de ellos está cifrado y el otro es un archivo ejecutable. Si ejecutamos el segundo archivo en un sistema operativo Windows, vemos que después de un momento, se genera un nuevo archivo. Al parecer es un archivo dll, pero si analizamos su cabecera nos damos cuenta que no es PE como corresponde a este tipo de archivos, sino que tiene una cabecera RIFF, la cual corresponde a archivos de audio en formato WAVE.
Haciendo un cambio en la extensión del archivo lo podremos escuchar. Los sonidos corresponden a un mensaje cifrado en clave morse. A menos que se pueda descifrar el mensaje en clave morse, debemos buscar otra alternativa para tratar de entender el mensaje. Así que vamos a analizar el archivo ejecutable.
Primero utilizando una herramienta como Protection iD nos podemos dar cuenta que el archivo está paqueado con UPX. Así que buscamos una herramienta para desempaquetar el archivo. Una vez que lo tenemos desempaquetado, podemos entrar a analizar el código del archivo una vez que lo decompilemos para llegar hasta el código fuente.
Si bien el archivo parece estar ofuscado, teniendo presente lo que escuchamos, seguramente una cadena de caracteres nos llamará la atención. La línea que contiene p y l nos da la idea que puede ser un mensaje cifrado en clave morse.
Si cambiamos las p por puntos y las l por líneas y utilizamos alguna herramienta online para descifrar este tipo de mensajes, llegaremos a obtener una frase que nos da la clave para desencriptar el otro archivo que encontramos en la captura.
Utilizando la herramienta gpg de Linux fácilmente podremos obtener el archivo desencriptado, el cual corresponde a una imagen que contiene información de clientes.
A todos muchas gracias por participar, esperamos que se entretuvieran resolviendo el desafío tanto como nosotros diseñándolo. Los esperamos en nuestro próximo desafío para seguir poniendo en práctica algunas herramientas y conocimientos relacionados con la seguridad informática.
