Capture The Flag merupakan salah satu cabang lomba berskala nasional dari IFest Competition 2019 mengenai kemananan jaringan dan informasi yang diselenggarakan oleh Himpunan Mahasiswa Teknik Informatika Universitas Padjajaran. Lomba ini terbuka untuk umum seluruh Indonesia.
Menggunakan konsep Jeopardy, setiap peserta ditantang untuk mengumpulkan flag dari soal-soal yang diberikan. Setiap soal memiliki nilai flag yang berbeda-beda. Soal-soal terdiri dari beberapa kategori yakni web hacking, binary exploitation, reverse engineering, cryptography dan digital forensic. Peserta dengan jumlah poin terbesar akan keluar sebagai juaranya
๐ Flash Disk
Polisi berhasil menemukan sebuah flash drive milik hacker jahat yang kemungkinan berisi file yang bisa menjadi barang bukti kejahatan. Dapatkah kamu membuktikannya?
Diberikan berkas find.7z yang memuat sebuah disk-image bernama find.img. Sebagaimana diuraikan pada deskripsi soal, diperlukan analisis tertentu untuk memperoleh digital evidence dari sample FAT diskimage yang ada. Adapun skema yang dilakukan ialah sebagai berikut.
$ 7z x find.7z
$ file find.img
find.img: DOS/MBR boot sector, code offset 0x3c+2, OEM-ID "mkfs.fat",
sectors/cluster 4, reserved sectors 4, root entries 512,
sectors 40000 (volumes <=32 MB),
Media descriptor 0xf8, sectors/FAT 40, sectors/track 32,
heads 64, serial number 0x9ed0b01, unlabeled, FAT (16 bit)
$ binwalk find.img | awk '{print $3}' | uniq
DESCRIPTION
HTML
Zip
GIF
XML
Executable
UnixDari sini, dapat diketahui bahwa diskimage memuat beberapa binary file yang salah satu di antaranya memuat isi dari flag. Untuk membuktikan deduksi tersebut, Kami lakukan proses mount untuk mengetahui readable file dari diskimage. Hasilnya diperoleh:
$ sudo mount find.img test
$ ls -la test
total 22
drwxr-xr-x 2 root root 16384 Jan 1 1970 .
drwxrwxrwt 1 root root 4096 Oct 5 19:22 ..
-rwxr-xr-x 1 root root 0 Jul 20 10:14 bahan.mp4
-rwxr-xr-x 1 root root 10 Jul 20 10:15 README.txt
-rwxr-xr-x 1 root root 0 Jul 20 10:14 Tugas
$ strings test/*
IllussionBerdasarkan hasil temuan di atas, nampaknya tidak terdapat informasi khusus terkait dengan evidence sehingga Kami berasumsi bahwa mungkin saja terdapat operasi file removal yang mengakibatkan keberadaan file tidak dapat dideteksi. Untuk itu, dilakukan proses inspect & file recovery dengan bantuan testdisk. Hasilnya, diperoleh flag.txt yang memuat isi dari flag
$ testdisk find.img
TestDisk 7.0, Data Recovery Utility, April 2015
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
TestDisk is free software, and
comes with ABSOLUTELY NO WARRANTY.
Select a media (use Arrow keys, then press Enter):
>Disk find.img - 20 MB / 19 MiB
>[Proceed ] [ Sudo ] [ Quit ]
---
Please select the partition table type, press Enter when done.
[Intel ] Intel/PC partition
[EFI GPT] EFI GPT partition map (Mac i386, some x86_64...)
[Humax ] Humax partition table
[Mac ] Apple partition map
>[None ] Non partitioned media
[Sun ] Sun Solaris partition
[XBox ] XBox partition
[Return ] Return to disk selection
---
[ Analyse ] Analyse current partition structure and search for lost partitions
>[ Advanced ] Filesystem Utils
[ Geometry ] Change disk geometry
[ Options ] Modify options
[ Quit ] Return to disk selection
---
Partition Start End Size in sectors
> P FAT16 0 0 1 19 33 32 40000 [NO NAME]
[ Type ] [ Boot ] >[Undelete] [Image Creation] [ Quit ]
---
Directory /
-rwxr-xr-x 0 0 10 20-Jul-2019 10:15 README.txt
-rwxr-xr-x 0 0 0 20-Jul-2019 10:14 Tugas
-rwxr-xr-x 0 0 0 20-Jul-2019 10:14 bahan.mp4
>-rwxr-xr-x 0 0 24 20-Jul-2019 10:16 flag.txt
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 cc_random_image
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 cc_textcat
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 cc_txtextexec
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 cc_txtextphp
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 cl_becache
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 st_socialnetwork
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 _RAWLER
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 css_filelinks
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 css_styled_multimedia
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 dam
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 dam_catedit
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 dam_cron
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 dam_frontend
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 dam_index
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 dam_ttcontent
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 de_timezone
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 directmailcsstoinline
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 div
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 div2007
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 doc_indexed_search
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 emailimport
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 feeditadvanced
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 fileupload
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 flvplayer2
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 getid3
drwxr-xr-x 0 0 0 20-Jul-2019 09:40 gkh_rss_import
-rwxr-xr-x 0 0 0 20-Jul-2019 09:40 index.html$ cat flag.txt
T3st_D1sk_r3c0vEr_F1l3sFLAG : !F3st{T3st_D1sk_r3c0vEr_F1l3s}
๐ Penipuan Online
Polisi mendapat laporan bahwa Joko telah tertipu melalui modus penipuan via sms online. nomor hp joko adalah 085711894811. Setelah polisi melakukan tracking, pelaku tertuju di warnet ABC. Berikut kami sertakan file hasil dump komunikasi jaringan warnet tersebut. Temukan pesan penipuan yang dikirim ke si Joko.
Diberikan packet data capture bernama penipuan.pcap. Adapun sebagai permulaan, dilakukan enumerasi informasi terkait hierarchy paket data dengan bantuan tshark.
$ tshark -r penipuan.pcap -q -z io,phs
===================================================================
Protocol Hierarchy Statistics
Filter:
frame frames:2925 bytes:987767
eth frames:2925 bytes:987767
ip frames:2915 bytes:987347
tcp frames:2017 bytes:502740
tls frames:462 bytes:266193
tcp.segments frames:87 bytes:80550
tls frames:43 bytes:48438
http frames:15 bytes:8615
urlencoded-form frames:1 bytes:1364
data-text-lines frames:2 bytes:1036
media frames:1 bytes:217
tcp.segments frames:1 bytes:217
data frames:1 bytes:77
udp frames:897 bytes:484537
data frames:828 bytes:475595
dns frames:65 bytes:8074
ssdp frames:4 bytes:868
icmp frames:1 bytes:70
arp frames:10 bytes:420
===================================================================Merujuk pada hasil yang tertera di atas, diketahui terdapat beberapa protocol layer yang menyusun keseluruhan dari 2925 packet.frame. Akan tetapi, kali ini pencarian hanya akan difokuskan pada HTTP layer. Apabila kita cermati kembali, dijelaskan bahwa terdapat modus penipuan berkedok online sms yang melibatkan nomor 085711894811. Dari sini akan dilakukan proses filter terhadap semua packet.frame yang memuat nomor telepon yang bersangkutan. Hasilnya diperoleh flag yang diminta
$ tshark -r penipuan.pcap -Y 'frame contains 085711894811' -Tfields -e text
Timestamps,POST /kirim HTTP/1.1,,
Form item: "teks" = "",Form item: "Phonenumbers" = "085711894811",
Form item: "Text" = "Halo, Joko selamat anda mendapat hadiah mobil, call 081235171111
!F3st{p3nipu4n_0nl1ne_melangg4r_UUITE}",Form item: "TOMBOL" = "KIRIM"FLAG : !F3st{p3nipu4n_0nl1ne_melangg4r_UUITE}
๐ Hacked By
Terjadi tindakan deface pada PT ABC, sysadmin telah memberi kamu file web log untuk diteliti, tim developer kesusahan untuk melakukan patching celah dikarenakan tidak tahu cara reproduce celahnya. dapatkah kamu membantu mereproduce celahnya?
Diberikan sebuah berkas access_log yang memuat 130951 log lines dari sebuah webserver. Sebagaimana diketahui, terdapat dugaan bahwa terdapat upaya peretasan yang dilakukan dari suatu celah keamanan. Dari sini, Kita dapat langsung melakukan filtering untuk aktivitas yang memuat strings hacked yang umumnya digunakan sebagai identitas peretasan.
$ grep -a hacked access_log | awk '{print $6,$7}' | sort | uniq
"GET /hacked
"GET /hacked/
"GET /hacked/hacked.jpeg
"GET /hacked/hacked.jpg
"GET /hacked/this@4241234666999
"GET /hacked/this@4241234666999/
"GET /hacked/this@4241234666999/is/
"GET /hacked/this@4241234666999/is/deep/
"GET /hacked/this@4241234666999/is/deep/folder
"GET /hacked/this@4241234666999/is/deep/folder/
"GET /hacked/this@4241234666999/is/deep/folder/img_avatar2.png
"GET /hacked/this@4241234666999/is/deep/folder/login.php
"GET /hacked/this@4241234666999/is/deep/folder/login.php?username=aaa&password=bbb
"GET /hacked/this@4241234666999/is/deep/folder/login.php?username=admin&password=beelzebub%40h3ll&remember=on
"GET /hacked/this@4241234666999/is/deep/folder/logout.php
"GET /hacked/this@4241234666999/is/deep/folder/upload.php
"POST /hacked/this@4241234666999/is/deep/folder/upload.phpHasilnya, diketahui bahwa terdapat sebuah webshell yang diproteksi oleh user authentication. Adapun webshell ini digunakan untuk melakukan proses malicious file uploading pada server. Berhubung credentials telah diperoleh, maka kita hanya perlu mereproduce skema yang attacker lakukan.
Sesaat setelah memasukkan credentials, kita akan dibawa pada beranda webshell yang memuat fitur uploader. Dari sini, kita bisa saja melakukan file upload untuk sembarang file untuk memperoleh url path. Dari sini diperoleh URL yang mengarah ke http://103.129.221.73:8086/hacked/this@4241234666999/is/deep/folder/uploads234241234. Langsung saja dilakukan pengecekan sehingga diperoleh flag yang diminta
$ curl http://103.129.221.73:8086/hacked/this@4241234666999/is/deep/folder/uploads234241234/
<html>
<head><title>Index of /hacked/this@4241234666999/is/deep/folder/uploads234241234/</title></head>
<body>
<h1>Index of /hacked/this@4241234666999/is/deep/folder/uploads234241234/</h1><hr><pre><a href="../">../</a>
<a href="flag.txt">flag.txt</a> 25-Aug-2019 06:38 268
</pre><hr></body>
</html>
$ curl http://103.129.221.73:8086/hacked/this@4241234666999/is/deep/folder/uploads234241234/flag.txt
Cara reproducenya adalah kunjungi folder
ip.target/this@4241234666999/is/deep/folder/
Login dengan username admin dan password beelzebub@h3ll
Upload file web shell
Kunjungi folder uploads234241234
Baca flag.txt
Hadiah anda adalah
!F3st{l0g_r3v13w_n0t_50_345y}FLAG : !F3st{l0g_r3v13w_n0t_50_345y}
๐ Memdump 1
Polisi memiliki memory dump milik penjahat, polisi ingin secara leluasa menyelidiki file-file yang ada di laptop penjahat melalui GUI, namun polisi terkendala tidak mengetahui password laptop penjahat.
Temukan password untuk masuk laptop penjahat! Agar polisi bisa secara leluasa menyelidiki file yang ada didalamnya melalui GUI.
Diberikan berkas dump.7z yang memuat memory.dmp. Sebagai permulaan, dilakukan identifikasi file untuk menentukan skema pengerjaan nantinya.
$ file memory.dmp
memory.dmp: Mini DuMP crash report, 14 streams, Sun Jul 14 08:30:16 2019, 0x61826 type
$ du -sh memory.dmp
28M memory.dmpHasilnya, binary-file teridentifikasi sebagai mini-dump dengan ukuran yang cukup kecil. Dari sini, diketahui bahwa proses ekstraksi password dapat dilakukan dengan LSASS dump guna memperoleh NTLM Hash dari user yang bersesuaian. Adapun skema tersebut dapat disederhanakan dengan bantuan mimikatz
$ mimikatz
.#####. mimikatz 2.2.0 (x64) #18362 Aug 14 2019 01:31:47
.## ^ ##. "A La Vie, A L'Amour" - (oe.eo)
## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
## \ / ## > http://blog.gentilkiwi.com/mimikatz
'## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com )
'#####' > http://pingcastle.com / http://mysmartlogon.com ***/
mimikatz # sekurlsa::minidump memory.dmp
Switch to MINIDUMP : 'memory.dmp'
mimikatz # sekurlsa::logonpasswords
Opening : 'memory.dmp' file for minidump...
Authentication Id : 0 ; 136249 (00000000:00021439)
Session : Interactive from 1
User Name : User
Domain : User-PC
Logon Server : USER-PC
Logon Time : 7/14/2019 3:28:59 PM
SID : S-1-5-21-1431604925-1651378252-302339478-1000
msv :
[00000003] Primary
* Username : User
* Domain : User-PC
* NTLM : c1d16526872c0ac32aa64c5c079d5bb9
* SHA1 : 63ff873a4e3dea773e9dbc1759b8f5e74be6a5e4
tspkg :
* Username : User
* Domain : User-PC
* Password : !F3st{m3m0ry_dUmp}
wdigest :
* Username : User
* Domain : User-PC
* Password : !F3st{m3m0ry_dUmp}
kerberos :
* Username : User
* Domain : User-PC
* Password : !F3st{m3m0ry_dUmp}
ssp :
credman :Hasilnya diperoleh flag dari credentials User/User-PC
FLAG : !F3st{m3m0ry_dUmp}
๐ Memdump 2
Terjadi penjualbelian data dari PT. ABC, kami curiga terjadi hal buruk pada server kami, kami melakukan dump memory terhadapnya. dapatkah kamu menemukan proses mencurigakan yang berjalan pada server kami?
Diberikan sebuah berkas dump.7z yang memuat hard_proses_mencurigakan.mem sebesar 1.0 G. Mengingat besarnya memory dump yang diberikan, dilakukan proses memdump analysis dengan bantuan volatility. Adapun skema yang dilakukan ialah sebagai berikut
Identifying OS Profile
Sebagai acuan awal pengerjaan soal, dilakukan proses identifikasi OS. Adapun langkah ini dapat dilakukan dengan menginvokasi plugin kbdgscan. Hasilnya, diperoleh Win7SP1x64 sebagai opsi OS volatility profile.
$ vol -f hard_proses_mencurigakan.mem kdbgscan
Volatility Foundation Volatility Framework 2.6
**************************************************
Instantiating KDBG using: /cygdrive/c/Users/shouko/Desktop/2019/CTF/Lomba/CTF IFest Competition 2019/Forensic/Memdump 2 [300 pts]/hard_proses_mencurigakan.mem WinXPSP2x86 (5.1.0 32bit)
Offset (P) : 0x2a4d0a0
KDBG owner tag check : True
Profile suggestion (KDBGHeader): Win7SP1x64
PsActiveProcessHead : 0x2a83b90
PsLoadedModuleList : 0x2aa1e90
KernelBase : 0xfffff8000285c000
**************************************************
Instantiating KDBG using: /cygdrive/c/Users/shouko/Desktop/2019/CTF/Lomba/CTF IFest Competition 2019/Forensic/Memdump 2 [300 pts]/hard_proses_mencurigakan.mem WinXPSP2x86 (5.1.0 32bit)
Offset (P) : 0x2a4d0a0
KDBG owner tag check : True
Profile suggestion (KDBGHeader): Win2008R2SP1x64
PsActiveProcessHead : 0x2a83b90
PsLoadedModuleList : 0x2aa1e90
KernelBase : 0xfffff8000285c000
**************************************************
Instantiating KDBG using: /cygdrive/c/Users/shouko/Desktop/2019/CTF/Lomba/CTF IFest Competition 2019/Forensic/Memdump 2 [300 pts]/hard_proses_mencurigakan.mem WinXPSP2x86 (5.1.0 32bit)
Offset (P) : 0x2a4d0a0
KDBG owner tag check : True
Profile suggestion (KDBGHeader): Win7SP1x64_23418
PsActiveProcessHead : 0x2a83b90
PsLoadedModuleList : 0x2aa1e90
KernelBase : 0xfffff8000285c000
**************************************************
Instantiating KDBG using: /cygdrive/c/Users/shouko/Desktop/2019/CTF/Lomba/CTF IFest Competition 2019/Forensic/Memdump 2 [300 pts]/hard_proses_mencurigakan.mem WinXPSP2x86 (5.1.0 32bit)
Offset (P) : 0x2a4d0a0
KDBG owner tag check : True
Profile suggestion (KDBGHeader): Win2008R2SP0x64
PsActiveProcessHead : 0x2a83b90
PsLoadedModuleList : 0x2aa1e90
KernelBase : 0xfffff8000285c000
**************************************************
Instantiating KDBG using: /cygdrive/c/Users/shouko/Desktop/2019/CTF/Lomba/CTF IFest Competition 2019/Forensic/Memdump 2 [300 pts]/hard_proses_mencurigakan.mem WinXPSP2x86 (5.1.0 32bit)
Offset (P) : 0x2a4d0a0
KDBG owner tag check : True
Profile suggestion (KDBGHeader): Win2008R2SP1x64_23418
PsActiveProcessHead : 0x2a83b90
PsLoadedModuleList : 0x2aa1e90
KernelBase : 0xfffff8000285c000
**************************************************
Instantiating KDBG using: /cygdrive/c/Users/shouko/Desktop/2019/CTF/Lomba/CTF IFest Competition 2019/Forensic/Memdump 2 [300 pts]/hard_proses_mencurigakan.mem WinXPSP2x86 (5.1.0 32bit)
Offset (P) : 0x2a4d0a0
KDBG owner tag check : True
Profile suggestion (KDBGHeader): Win7SP1x64_24000
PsActiveProcessHead : 0x2a83b90
PsLoadedModuleList : 0x2aa1e90
KernelBase : 0xfffff8000285c000
**************************************************
Instantiating KDBG using: /cygdrive/c/Users/shouko/Desktop/2019/CTF/Lomba/CTF IFest Competition 2019/Forensic/Memdump 2 [300 pts]/hard_proses_mencurigakan.mem WinXPSP2x86 (5.1.0 32bit)
Offset (P) : 0x2a4d0a0
KDBG owner tag check : True
Profile suggestion (KDBGHeader): Win7SP0x64
PsActiveProcessHead : 0x2a83b90
PsLoadedModuleList : 0x2aa1e90
KernelBase : 0xfffff8000285c000Reveal Malicious Proc-list
Sebagaimana diketahui pada deskripsi soal, Kita dapat berasumsi bahwa terdapat suatu running process yang diaplikasikan untuk mengeksploitasi host computer yang ada. Untuk mempermudah penelusuran, dilakukan proses process listing dengan plugin pslist
$ vol -f hard_proses_mencurigakan.mem --profile=Win7SP1x64 pslist
Volatility Foundation Volatility Framework 2.6
Offset(V) Name PID PPID Thds Hnds Sess Wow64 Start Exit
------------------ -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0xfffffa8000c9f040 System 4 0 89 506 ------ 0 2019-07-18 08:55:07 UTC+0000
0xfffffa8001f09820 smss.exe 264 4 2 29 ------ 0 2019-07-18 08:55:07 UTC+0000
0xfffffa8002610b30 csrss.exe 340 332 9 390 0 0 2019-07-18 08:55:09 UTC+0000
0xfffffa8000ca3970 wininit.exe 376 332 3 75 0 0 2019-07-18 08:55:09 UTC+0000
0xfffffa8000ca5500 csrss.exe 388 368 12 319 1 0 2019-07-18 08:55:09 UTC+0000
0xfffffa8002637640 winlogon.exe 428 368 3 113 1 0 2019-07-18 08:55:09 UTC+0000
0xfffffa80026877c0 services.exe 464 376 10 190 0 0 2019-07-18 08:55:09 UTC+0000
0xfffffa80026949e0 lsass.exe 480 376 7 565 0 0 2019-07-18 08:55:10 UTC+0000
0xfffffa8002689b30 lsm.exe 488 376 10 140 0 0 2019-07-18 08:55:10 UTC+0000
0xfffffa800287a910 svchost.exe 600 464 9 348 0 0 2019-07-18 08:55:10 UTC+0000
0xfffffa80028acb30 VBoxService.ex 660 464 11 118 0 0 2019-07-18 08:55:10 UTC+0000
0xfffffa80028d2a30 svchost.exe 712 464 8 241 0 0 2019-07-18 08:55:10 UTC+0000
0xfffffa8002912b30 svchost.exe 764 464 25 480 0 0 2019-07-18 08:55:10 UTC+0000
0xfffffa800272db30 svchost.exe 876 464 17 430 0 0 2019-07-18 08:55:11 UTC+0000
0xfffffa80029dab30 svchost.exe 932 464 36 1028 0 0 2019-07-18 08:55:11 UTC+0000
0xfffffa8002a39b30 svchost.exe 392 464 26 531 0 0 2019-07-18 08:55:11 UTC+0000
0xfffffa8002a714a0 svchost.exe 984 464 15 454 0 0 2019-07-18 08:55:11 UTC+0000
0xfffffa8002544780 spoolsv.exe 1128 464 12 309 0 0 2019-07-18 08:55:11 UTC+0000
0xfffffa8002894060 svchost.exe 1180 464 18 297 0 0 2019-07-18 08:55:11 UTC+0000
0xfffffa800276c060 armsvc.exe 1304 464 4 69 0 1 2019-07-18 08:55:12 UTC+0000
0xfffffa80028c9060 AGMService.exe 1336 464 5 113 0 1 2019-07-18 08:55:12 UTC+0000
0xfffffa800275b060 taskhost.exe 1352 464 8 204 1 0 2019-07-18 08:55:12 UTC+0000
0xfffffa8002868060 AGSService.exe 1392 464 4 117 0 1 2019-07-18 08:55:12 UTC+0000
0xfffffa8002ae7b30 svchost.exe 1520 464 20 316 0 0 2019-07-18 08:55:12 UTC+0000
0xfffffa8002aeeb30 unsecapp.exe 1760 600 4 65 0 0 2019-07-18 08:55:13 UTC+0000
0xfffffa8002bc8b30 WmiPrvSE.exe 1816 600 8 174 0 0 2019-07-18 08:55:13 UTC+0000
0xfffffa8002bd98a0 sppsvc.exe 2016 464 4 148 0 0 2019-07-18 08:55:13 UTC+0000
0xfffffa8002923160 dwm.exe 2328 876 3 69 1 0 2019-07-18 08:55:24 UTC+0000
0xfffffa8002958360 explorer.exe 2340 2320 0 -------- 1 0 2019-07-18 08:55:24 UTC+0000 2019-07-18 11:37:21 UTC+0000
0xfffffa8002d30740 VBoxTray.exe 2440 2340 13 156 1 0 2019-07-18 08:55:24 UTC+0000
0xfffffa8002d48b30 StikyNot.exe 2464 2340 8 134 1 0 2019-07-18 08:55:24 UTC+0000
0xfffffa8002da7060 acrotray.exe 2580 2472 2 66 1 1 2019-07-18 08:55:25 UTC+0000
0xfffffa8002da9790 hpwuschd2.exe 2588 2472 1 36 1 1 2019-07-18 08:55:25 UTC+0000
0xfffffa8002b2cb30 SearchIndexer. 2872 464 10 635 0 0 2019-07-18 08:55:26 UTC+0000
0xfffffa8000ff5060 PubMonitor.exe 2684 2932 6 201 1 1 2019-07-18 09:04:19 UTC+0000
0xfffffa8000fa4b30 chrome.exe 1968 2340 0 -------- 1 0 2019-07-18 10:48:49 UTC+0000 2019-07-18 11:35:33 UTC+0000
0xfffffa8001be4060 taskmgr.exe 2760 3052 6 132 1 0 2019-07-18 11:35:57 UTC+0000
0xfffffa8001d466c0 SHLAPT1337.exe 4076 2340 1 13 1 1 2019-07-18 11:36:05 UTC+0000
0xfffffa8001ed4060 conhost.exe 2572 388 2 58 1 0 2019-07-18 11:36:05 UTC+0000
0xfffffa8000d1e060 RamCapture64.e 4016 2340 6 76 1 0 2019-07-18 11:36:46 UTC+0000
0xfffffa80014686e0 conhost.exe 1776 388 2 58 1 0 2019-07-18 11:36:46 UTC+0000 Dari sini, dapat dipahami bahwa terdapat service SHLAPT1337.exe yang berjalan pada host yang agaknya cukup mencurigakan. Hal ini berkenaan dengan shared PPID yang umumnya digunakan untuk mengakses resource dari PID lain. Untuk membuktikan deduksi tersebut, dilakukan proses memdump sekaligus strings dump pada proses yang dicurigai.
$ vol -f hard_proses_mencurigakan.mem --profile=Win7SP1x64 memdump -p 4076 -D .
Volatility Foundation Volatility Framework 2.6
************************************************************************
Writing SHLAPT1337.exe [ 4076] to 4076.dmp
$ strings 4076.dmp | grep -oP '!F3st{.*?}'
!F3st{th1s_1s_not_flag}
!F3st{th1s_1s_not_flag}
!F3st{wh4t_you_are_looking_for}
!F3st{dump_f1l35_not_so_hard}Hasilnya diperoleh flag yang diminta sekaligus beberapa flag palsu lainnya
FLAG : !F3st{dump_f1l35_not_so_hard}