Capture The Flag merupakan salah satu cabang lomba berskala nasional dari IFest Competition 2019 mengenai kemananan jaringan dan informasi yang diselenggarakan oleh Himpunan Mahasiswa Teknik Informatika Universitas Padjajaran. Lomba ini terbuka untuk umum seluruh Indonesia.

Menggunakan konsep Jeopardy, setiap peserta ditantang untuk mengumpulkan flag dari soal-soal yang diberikan. Setiap soal memiliki nilai flag yang berbeda-beda. Soal-soal terdiri dari beberapa kategori yakni web hacking, binary exploitation, reverse engineering, cryptography dan digital forensic. Peserta dengan jumlah poin terbesar akan keluar sebagai juaranya

๐Ÿ”— Flash Disk

Polisi berhasil menemukan sebuah flash drive milik hacker jahat yang kemungkinan berisi file yang bisa menjadi barang bukti kejahatan. Dapatkah kamu membuktikannya?

Diberikan berkas find.7z yang memuat sebuah disk-image bernama find.img. Sebagaimana diuraikan pada deskripsi soal, diperlukan analisis tertentu untuk memperoleh digital evidence dari sample FAT diskimage yang ada. Adapun skema yang dilakukan ialah sebagai berikut.

$ 7z x find.7z
$ file find.img

find.img: DOS/MBR boot sector, code offset 0x3c+2, OEM-ID "mkfs.fat",
sectors/cluster 4, reserved sectors 4, root entries 512,
sectors 40000 (volumes <=32 MB),
Media descriptor 0xf8, sectors/FAT 40, sectors/track 32,
heads 64, serial number 0x9ed0b01, unlabeled, FAT (16 bit)

$ binwalk find.img | awk '{print $3}' | uniq
DESCRIPTION

HTML
Zip
GIF
XML
Executable
Unix

Dari sini, dapat diketahui bahwa diskimage memuat beberapa binary file yang salah satu di antaranya memuat isi dari flag. Untuk membuktikan deduksi tersebut, Kami lakukan proses mount untuk mengetahui readable file dari diskimage. Hasilnya diperoleh:

$ sudo mount find.img test                                                          
$ ls -la test                                                                       
total 22
drwxr-xr-x 2 root root 16384 Jan  1  1970 .
drwxrwxrwt 1 root root  4096 Oct  5 19:22 ..
-rwxr-xr-x 1 root root     0 Jul 20 10:14 bahan.mp4
-rwxr-xr-x 1 root root    10 Jul 20 10:15 README.txt
-rwxr-xr-x 1 root root     0 Jul 20 10:14 Tugas

$ strings test/*                                                                         
Illussion

Berdasarkan hasil temuan di atas, nampaknya tidak terdapat informasi khusus terkait dengan evidence sehingga Kami berasumsi bahwa mungkin saja terdapat operasi file removal yang mengakibatkan keberadaan file tidak dapat dideteksi. Untuk itu, dilakukan proses inspect & file recovery dengan bantuan testdisk. Hasilnya, diperoleh flag.txt yang memuat isi dari flag

$ testdisk find.img
TestDisk 7.0, Data Recovery Utility, April 2015
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org

  TestDisk is free software, and
comes with ABSOLUTELY NO WARRANTY.

Select a media (use Arrow keys, then press Enter):
>Disk find.img - 20 MB / 19 MiB

>[Proceed ]  [  Sudo  ]  [  Quit  ]

---

Please select the partition table type, press Enter when done.
 [Intel  ] Intel/PC partition
 [EFI GPT] EFI GPT partition map (Mac i386, some x86_64...)
 [Humax  ] Humax partition table
 [Mac    ] Apple partition map
>[None   ] Non partitioned media
 [Sun    ] Sun Solaris partition
 [XBox   ] XBox partition
 [Return ] Return to disk selection

---

 [ Analyse  ] Analyse current partition structure and search for lost partitions
>[ Advanced ] Filesystem Utils
 [ Geometry ] Change disk geometry
 [ Options  ] Modify options
 [ Quit     ] Return to disk selection

---

     Partition                  Start        End    Size in sectors
>   P FAT16                    0   0  1    19  33 32      40000 [NO NAME]

[  Type  ]  [  Boot  ] >[Undelete]  [Image Creation]  [  Quit  ]

---

Directory /

 -rwxr-xr-x     0     0        10 20-Jul-2019 10:15 README.txt
 -rwxr-xr-x     0     0         0 20-Jul-2019 10:14 Tugas
 -rwxr-xr-x     0     0         0 20-Jul-2019 10:14 bahan.mp4
>-rwxr-xr-x     0     0        24 20-Jul-2019 10:16 flag.txt
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 cc_random_image
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 cc_textcat
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 cc_txtextexec
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 cc_txtextphp
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 cl_becache
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 st_socialnetwork
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 _RAWLER
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 css_filelinks
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 css_styled_multimedia
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 dam
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 dam_catedit
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 dam_cron
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 dam_frontend
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 dam_index
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 dam_ttcontent
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 de_timezone
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 directmailcsstoinline
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 div
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 div2007
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 doc_indexed_search
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 emailimport
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 feeditadvanced
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 fileupload
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 flvplayer2
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 getid3
 drwxr-xr-x     0     0         0 20-Jul-2019 09:40 gkh_rss_import
 -rwxr-xr-x     0     0         0 20-Jul-2019 09:40 index.html
$ cat flag.txt

T3st_D1sk_r3c0vEr_F1l3s

FLAG : !F3st{T3st_D1sk_r3c0vEr_F1l3s}

๐Ÿ”— Penipuan Online

Polisi mendapat laporan bahwa Joko telah tertipu melalui modus penipuan via sms online. nomor hp joko adalah 085711894811. Setelah polisi melakukan tracking, pelaku tertuju di warnet ABC. Berikut kami sertakan file hasil dump komunikasi jaringan warnet tersebut. Temukan pesan penipuan yang dikirim ke si Joko.

Diberikan packet data capture bernama penipuan.pcap. Adapun sebagai permulaan, dilakukan enumerasi informasi terkait hierarchy paket data dengan bantuan tshark.

$ tshark -r penipuan.pcap -q -z io,phs

===================================================================
Protocol Hierarchy Statistics
Filter:

frame                                    frames:2925 bytes:987767
  eth                                    frames:2925 bytes:987767
    ip                                   frames:2915 bytes:987347
      tcp                                frames:2017 bytes:502740
        tls                              frames:462 bytes:266193
          tcp.segments                   frames:87 bytes:80550
            tls                          frames:43 bytes:48438
        http                             frames:15 bytes:8615
          urlencoded-form                frames:1 bytes:1364
          data-text-lines                frames:2 bytes:1036
          media                          frames:1 bytes:217
            tcp.segments                 frames:1 bytes:217
        data                             frames:1 bytes:77
      udp                                frames:897 bytes:484537
        data                             frames:828 bytes:475595
        dns                              frames:65 bytes:8074
        ssdp                             frames:4 bytes:868
      icmp                               frames:1 bytes:70
    arp                                  frames:10 bytes:420
===================================================================

Merujuk pada hasil yang tertera di atas, diketahui terdapat beberapa protocol layer yang menyusun keseluruhan dari 2925 packet.frame. Akan tetapi, kali ini pencarian hanya akan difokuskan pada HTTP layer. Apabila kita cermati kembali, dijelaskan bahwa terdapat modus penipuan berkedok online sms yang melibatkan nomor 085711894811. Dari sini akan dilakukan proses filter terhadap semua packet.frame yang memuat nomor telepon yang bersangkutan. Hasilnya diperoleh flag yang diminta

$ tshark -r penipuan.pcap -Y 'frame contains 085711894811' -Tfields -e text
Timestamps,POST /kirim HTTP/1.1,,
Form item: "teks" = "",Form item: "Phonenumbers" = "085711894811",
Form item: "Text" = "Halo, Joko selamat anda mendapat hadiah mobil, call 081235171111
!F3st{p3nipu4n_0nl1ne_melangg4r_UUITE}",Form item: "TOMBOL" = "KIRIM"

FLAG : !F3st{p3nipu4n_0nl1ne_melangg4r_UUITE}

๐Ÿ”— Hacked By

Terjadi tindakan deface pada PT ABC, sysadmin telah memberi kamu file web log untuk diteliti, tim developer kesusahan untuk melakukan patching celah dikarenakan tidak tahu cara reproduce celahnya. dapatkah kamu membantu mereproduce celahnya?

Situs PT ABC

Diberikan sebuah berkas access_log yang memuat 130951 log lines dari sebuah webserver. Sebagaimana diketahui, terdapat dugaan bahwa terdapat upaya peretasan yang dilakukan dari suatu celah keamanan. Dari sini, Kita dapat langsung melakukan filtering untuk aktivitas yang memuat strings hacked yang umumnya digunakan sebagai identitas peretasan.

$ grep -a hacked access_log | awk '{print $6,$7}' | sort | uniq
"GET /hacked
"GET /hacked/
"GET /hacked/hacked.jpeg
"GET /hacked/hacked.jpg
"GET /hacked/this@4241234666999
"GET /hacked/this@4241234666999/
"GET /hacked/this@4241234666999/is/
"GET /hacked/this@4241234666999/is/deep/
"GET /hacked/this@4241234666999/is/deep/folder
"GET /hacked/this@4241234666999/is/deep/folder/
"GET /hacked/this@4241234666999/is/deep/folder/img_avatar2.png
"GET /hacked/this@4241234666999/is/deep/folder/login.php
"GET /hacked/this@4241234666999/is/deep/folder/login.php?username=aaa&password=bbb
"GET /hacked/this@4241234666999/is/deep/folder/login.php?username=admin&password=beelzebub%40h3ll&remember=on
"GET /hacked/this@4241234666999/is/deep/folder/logout.php
"GET /hacked/this@4241234666999/is/deep/folder/upload.php
"POST /hacked/this@4241234666999/is/deep/folder/upload.php

Hasilnya, diketahui bahwa terdapat sebuah webshell yang diproteksi oleh user authentication. Adapun webshell ini digunakan untuk melakukan proses malicious file uploading pada server. Berhubung credentials telah diperoleh, maka kita hanya perlu mereproduce skema yang attacker lakukan.

preview-3

Sesaat setelah memasukkan credentials, kita akan dibawa pada beranda webshell yang memuat fitur uploader. Dari sini, kita bisa saja melakukan file upload untuk sembarang file untuk memperoleh url path. Dari sini diperoleh URL yang mengarah ke http://103.129.221.73:8086/hacked/this@4241234666999/is/deep/folder/uploads234241234. Langsung saja dilakukan pengecekan sehingga diperoleh flag yang diminta

$ curl http://103.129.221.73:8086/hacked/this@4241234666999/is/deep/folder/uploads234241234/
<html>
<head><title>Index of /hacked/this@4241234666999/is/deep/folder/uploads234241234/</title></head>
<body>
<h1>Index of /hacked/this@4241234666999/is/deep/folder/uploads234241234/</h1><hr><pre><a href="../">../</a>
<a href="flag.txt">flag.txt</a>                                           25-Aug-2019 06:38                 268
</pre><hr></body>
</html>

$ curl http://103.129.221.73:8086/hacked/this@4241234666999/is/deep/folder/uploads234241234/flag.txt
Cara reproducenya adalah kunjungi folder

ip.target/this@4241234666999/is/deep/folder/

Login dengan username admin dan password beelzebub@h3ll

Upload file web shell

Kunjungi folder uploads234241234

Baca flag.txt

Hadiah anda adalah
!F3st{l0g_r3v13w_n0t_50_345y}

FLAG : !F3st{l0g_r3v13w_n0t_50_345y}

๐Ÿ”— Memdump 1

Polisi memiliki memory dump milik penjahat, polisi ingin secara leluasa menyelidiki file-file yang ada di laptop penjahat melalui GUI, namun polisi terkendala tidak mengetahui password laptop penjahat.

Temukan password untuk masuk laptop penjahat! Agar polisi bisa secara leluasa menyelidiki file yang ada didalamnya melalui GUI.

Diberikan berkas dump.7z yang memuat memory.dmp. Sebagai permulaan, dilakukan identifikasi file untuk menentukan skema pengerjaan nantinya.

$ file memory.dmp
memory.dmp: Mini DuMP crash report, 14 streams, Sun Jul 14 08:30:16 2019, 0x61826 type

$ du -sh memory.dmp
28M     memory.dmp

Hasilnya, binary-file teridentifikasi sebagai mini-dump dengan ukuran yang cukup kecil. Dari sini, diketahui bahwa proses ekstraksi password dapat dilakukan dengan LSASS dump guna memperoleh NTLM Hash dari user yang bersesuaian. Adapun skema tersebut dapat disederhanakan dengan bantuan mimikatz

$ mimikatz

  .#####.   mimikatz 2.2.0 (x64) #18362 Aug 14 2019 01:31:47
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > http://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > http://pingcastle.com / http://mysmartlogon.com   ***/

mimikatz # sekurlsa::minidump memory.dmp
Switch to MINIDUMP : 'memory.dmp'

mimikatz # sekurlsa::logonpasswords
Opening : 'memory.dmp' file for minidump...

Authentication Id : 0 ; 136249 (00000000:00021439)
Session           : Interactive from 1
User Name         : User
Domain            : User-PC
Logon Server      : USER-PC
Logon Time        : 7/14/2019 3:28:59 PM
SID               : S-1-5-21-1431604925-1651378252-302339478-1000
        msv :
         [00000003] Primary
         * Username : User
         * Domain   : User-PC
         * NTLM     : c1d16526872c0ac32aa64c5c079d5bb9
         * SHA1     : 63ff873a4e3dea773e9dbc1759b8f5e74be6a5e4
        tspkg :
         * Username : User
         * Domain   : User-PC
         * Password : !F3st{m3m0ry_dUmp}
        wdigest :
         * Username : User
         * Domain   : User-PC
         * Password : !F3st{m3m0ry_dUmp}
        kerberos :
         * Username : User
         * Domain   : User-PC
         * Password : !F3st{m3m0ry_dUmp}
        ssp :
        credman :

Hasilnya diperoleh flag dari credentials User/User-PC

FLAG : !F3st{m3m0ry_dUmp}

๐Ÿ”— Memdump 2

Terjadi penjualbelian data dari PT. ABC, kami curiga terjadi hal buruk pada server kami, kami melakukan dump memory terhadapnya. dapatkah kamu menemukan proses mencurigakan yang berjalan pada server kami?

Diberikan sebuah berkas dump.7z yang memuat hard_proses_mencurigakan.mem sebesar 1.0 G. Mengingat besarnya memory dump yang diberikan, dilakukan proses memdump analysis dengan bantuan volatility. Adapun skema yang dilakukan ialah sebagai berikut

Identifying OS Profile

Sebagai acuan awal pengerjaan soal, dilakukan proses identifikasi OS. Adapun langkah ini dapat dilakukan dengan menginvokasi plugin kbdgscan. Hasilnya, diperoleh Win7SP1x64 sebagai opsi OS volatility profile.

$ vol -f hard_proses_mencurigakan.mem kdbgscan
Volatility Foundation Volatility Framework 2.6
**************************************************
Instantiating KDBG using: /cygdrive/c/Users/shouko/Desktop/2019/CTF/Lomba/CTF IFest Competition 2019/Forensic/Memdump 2 [300 pts]/hard_proses_mencurigakan.mem WinXPSP2x86 (5.1.0 32bit)
Offset (P)                    : 0x2a4d0a0
KDBG owner tag check          : True
Profile suggestion (KDBGHeader): Win7SP1x64
PsActiveProcessHead           : 0x2a83b90
PsLoadedModuleList            : 0x2aa1e90
KernelBase                    : 0xfffff8000285c000

**************************************************
Instantiating KDBG using: /cygdrive/c/Users/shouko/Desktop/2019/CTF/Lomba/CTF IFest Competition 2019/Forensic/Memdump 2 [300 pts]/hard_proses_mencurigakan.mem WinXPSP2x86 (5.1.0 32bit)
Offset (P)                    : 0x2a4d0a0
KDBG owner tag check          : True
Profile suggestion (KDBGHeader): Win2008R2SP1x64
PsActiveProcessHead           : 0x2a83b90
PsLoadedModuleList            : 0x2aa1e90
KernelBase                    : 0xfffff8000285c000

**************************************************
Instantiating KDBG using: /cygdrive/c/Users/shouko/Desktop/2019/CTF/Lomba/CTF IFest Competition 2019/Forensic/Memdump 2 [300 pts]/hard_proses_mencurigakan.mem WinXPSP2x86 (5.1.0 32bit)
Offset (P)                    : 0x2a4d0a0
KDBG owner tag check          : True
Profile suggestion (KDBGHeader): Win7SP1x64_23418
PsActiveProcessHead           : 0x2a83b90
PsLoadedModuleList            : 0x2aa1e90
KernelBase                    : 0xfffff8000285c000

**************************************************
Instantiating KDBG using: /cygdrive/c/Users/shouko/Desktop/2019/CTF/Lomba/CTF IFest Competition 2019/Forensic/Memdump 2 [300 pts]/hard_proses_mencurigakan.mem WinXPSP2x86 (5.1.0 32bit)
Offset (P)                    : 0x2a4d0a0
KDBG owner tag check          : True
Profile suggestion (KDBGHeader): Win2008R2SP0x64
PsActiveProcessHead           : 0x2a83b90
PsLoadedModuleList            : 0x2aa1e90
KernelBase                    : 0xfffff8000285c000

**************************************************
Instantiating KDBG using: /cygdrive/c/Users/shouko/Desktop/2019/CTF/Lomba/CTF IFest Competition 2019/Forensic/Memdump 2 [300 pts]/hard_proses_mencurigakan.mem WinXPSP2x86 (5.1.0 32bit)
Offset (P)                    : 0x2a4d0a0
KDBG owner tag check          : True
Profile suggestion (KDBGHeader): Win2008R2SP1x64_23418
PsActiveProcessHead           : 0x2a83b90
PsLoadedModuleList            : 0x2aa1e90
KernelBase                    : 0xfffff8000285c000

**************************************************
Instantiating KDBG using: /cygdrive/c/Users/shouko/Desktop/2019/CTF/Lomba/CTF IFest Competition 2019/Forensic/Memdump 2 [300 pts]/hard_proses_mencurigakan.mem WinXPSP2x86 (5.1.0 32bit)
Offset (P)                    : 0x2a4d0a0
KDBG owner tag check          : True
Profile suggestion (KDBGHeader): Win7SP1x64_24000
PsActiveProcessHead           : 0x2a83b90
PsLoadedModuleList            : 0x2aa1e90
KernelBase                    : 0xfffff8000285c000

**************************************************
Instantiating KDBG using: /cygdrive/c/Users/shouko/Desktop/2019/CTF/Lomba/CTF IFest Competition 2019/Forensic/Memdump 2 [300 pts]/hard_proses_mencurigakan.mem WinXPSP2x86 (5.1.0 32bit)
Offset (P)                    : 0x2a4d0a0
KDBG owner tag check          : True
Profile suggestion (KDBGHeader): Win7SP0x64
PsActiveProcessHead           : 0x2a83b90
PsLoadedModuleList            : 0x2aa1e90
KernelBase                    : 0xfffff8000285c000

Reveal Malicious Proc-list

Sebagaimana diketahui pada deskripsi soal, Kita dapat berasumsi bahwa terdapat suatu running process yang diaplikasikan untuk mengeksploitasi host computer yang ada. Untuk mempermudah penelusuran, dilakukan proses process listing dengan plugin pslist

$ vol -f hard_proses_mencurigakan.mem --profile=Win7SP1x64 pslist
Volatility Foundation Volatility Framework 2.6
Offset(V)          Name                    PID   PPID   Thds     Hnds   Sess  Wow64 Start                          Exit                       
------------------ -------------------- ------ ------ ------ -------- ------ ------ ------------------------------ ------------------------------
0xfffffa8000c9f040 System                    4      0     89      506 ------      0 2019-07-18 08:55:07 UTC+0000                              
0xfffffa8001f09820 smss.exe                264      4      2       29 ------      0 2019-07-18 08:55:07 UTC+0000                              
0xfffffa8002610b30 csrss.exe               340    332      9      390      0      0 2019-07-18 08:55:09 UTC+0000                              
0xfffffa8000ca3970 wininit.exe             376    332      3       75      0      0 2019-07-18 08:55:09 UTC+0000                              
0xfffffa8000ca5500 csrss.exe               388    368     12      319      1      0 2019-07-18 08:55:09 UTC+0000                              
0xfffffa8002637640 winlogon.exe            428    368      3      113      1      0 2019-07-18 08:55:09 UTC+0000                              
0xfffffa80026877c0 services.exe            464    376     10      190      0      0 2019-07-18 08:55:09 UTC+0000                              
0xfffffa80026949e0 lsass.exe               480    376      7      565      0      0 2019-07-18 08:55:10 UTC+0000                              
0xfffffa8002689b30 lsm.exe                 488    376     10      140      0      0 2019-07-18 08:55:10 UTC+0000                              
0xfffffa800287a910 svchost.exe             600    464      9      348      0      0 2019-07-18 08:55:10 UTC+0000                              
0xfffffa80028acb30 VBoxService.ex          660    464     11      118      0      0 2019-07-18 08:55:10 UTC+0000                              
0xfffffa80028d2a30 svchost.exe             712    464      8      241      0      0 2019-07-18 08:55:10 UTC+0000                              
0xfffffa8002912b30 svchost.exe             764    464     25      480      0      0 2019-07-18 08:55:10 UTC+0000                              
0xfffffa800272db30 svchost.exe             876    464     17      430      0      0 2019-07-18 08:55:11 UTC+0000                              
0xfffffa80029dab30 svchost.exe             932    464     36     1028      0      0 2019-07-18 08:55:11 UTC+0000                              
0xfffffa8002a39b30 svchost.exe             392    464     26      531      0      0 2019-07-18 08:55:11 UTC+0000                              
0xfffffa8002a714a0 svchost.exe             984    464     15      454      0      0 2019-07-18 08:55:11 UTC+0000                              
0xfffffa8002544780 spoolsv.exe            1128    464     12      309      0      0 2019-07-18 08:55:11 UTC+0000                              
0xfffffa8002894060 svchost.exe            1180    464     18      297      0      0 2019-07-18 08:55:11 UTC+0000                              
0xfffffa800276c060 armsvc.exe             1304    464      4       69      0      1 2019-07-18 08:55:12 UTC+0000                              
0xfffffa80028c9060 AGMService.exe         1336    464      5      113      0      1 2019-07-18 08:55:12 UTC+0000                              
0xfffffa800275b060 taskhost.exe           1352    464      8      204      1      0 2019-07-18 08:55:12 UTC+0000                              
0xfffffa8002868060 AGSService.exe         1392    464      4      117      0      1 2019-07-18 08:55:12 UTC+0000                              
0xfffffa8002ae7b30 svchost.exe            1520    464     20      316      0      0 2019-07-18 08:55:12 UTC+0000                              
0xfffffa8002aeeb30 unsecapp.exe           1760    600      4       65      0      0 2019-07-18 08:55:13 UTC+0000                              
0xfffffa8002bc8b30 WmiPrvSE.exe           1816    600      8      174      0      0 2019-07-18 08:55:13 UTC+0000                              
0xfffffa8002bd98a0 sppsvc.exe             2016    464      4      148      0      0 2019-07-18 08:55:13 UTC+0000                              
0xfffffa8002923160 dwm.exe                2328    876      3       69      1      0 2019-07-18 08:55:24 UTC+0000                              
0xfffffa8002958360 explorer.exe           2340   2320      0 --------      1      0 2019-07-18 08:55:24 UTC+0000   2019-07-18 11:37:21 UTC+0000
0xfffffa8002d30740 VBoxTray.exe           2440   2340     13      156      1      0 2019-07-18 08:55:24 UTC+0000                              
0xfffffa8002d48b30 StikyNot.exe           2464   2340      8      134      1      0 2019-07-18 08:55:24 UTC+0000                              
0xfffffa8002da7060 acrotray.exe           2580   2472      2       66      1      1 2019-07-18 08:55:25 UTC+0000                              
0xfffffa8002da9790 hpwuschd2.exe          2588   2472      1       36      1      1 2019-07-18 08:55:25 UTC+0000                              
0xfffffa8002b2cb30 SearchIndexer.         2872    464     10      635      0      0 2019-07-18 08:55:26 UTC+0000                              
0xfffffa8000ff5060 PubMonitor.exe         2684   2932      6      201      1      1 2019-07-18 09:04:19 UTC+0000                              
0xfffffa8000fa4b30 chrome.exe             1968   2340      0 --------      1      0 2019-07-18 10:48:49 UTC+0000   2019-07-18 11:35:33 UTC+0000
0xfffffa8001be4060 taskmgr.exe            2760   3052      6      132      1      0 2019-07-18 11:35:57 UTC+0000                              
0xfffffa8001d466c0 SHLAPT1337.exe         4076   2340      1       13      1      1 2019-07-18 11:36:05 UTC+0000                              
0xfffffa8001ed4060 conhost.exe            2572    388      2       58      1      0 2019-07-18 11:36:05 UTC+0000                              
0xfffffa8000d1e060 RamCapture64.e         4016   2340      6       76      1      0 2019-07-18 11:36:46 UTC+0000                              
0xfffffa80014686e0 conhost.exe            1776    388      2       58      1      0 2019-07-18 11:36:46 UTC+0000    

Dari sini, dapat dipahami bahwa terdapat service SHLAPT1337.exe yang berjalan pada host yang agaknya cukup mencurigakan. Hal ini berkenaan dengan shared PPID yang umumnya digunakan untuk mengakses resource dari PID lain. Untuk membuktikan deduksi tersebut, dilakukan proses memdump sekaligus strings dump pada proses yang dicurigai.

$ vol -f hard_proses_mencurigakan.mem --profile=Win7SP1x64 memdump -p 4076 -D .
Volatility Foundation Volatility Framework 2.6
************************************************************************
Writing SHLAPT1337.exe [  4076] to 4076.dmp

$ strings 4076.dmp | grep -oP '!F3st{.*?}'
!F3st{th1s_1s_not_flag}
!F3st{th1s_1s_not_flag}
!F3st{wh4t_you_are_looking_for}
!F3st{dump_f1l35_not_so_hard}

Hasilnya diperoleh flag yang diminta sekaligus beberapa flag palsu lainnya

FLAG : !F3st{dump_f1l35_not_so_hard}