Hackllebarde ransomware 2/4 (Forensics) - 404CTF2022

Principe:
Retrouver des informations dans un dump mémoire (ce que j'ai fait via grep, et non volatility)

Infos (cf menu latéral):
🚩 Flaggué! +997 points gagnés — 💾 Téléchargez les fichiers du challenge
404CTF{192.168.61.137:13598:JeNeSuisPasDuToutUnFichierMalveillant:https://www.youtube.com/watch?v=3Kq1MIfTWCE}

Le challenge

Le challenge demande de trouver, dans un dump mémoire, des informations

Le fichier contenant l'image disque RAW est ici et les autres fichiers du challenge sont là

Grep

En faisant un grep -Eo "https?://[A-Za-z0-9._-]+" on trouve des URLs dont du youtube…
En parcourant ces URLs, on peut essayer d'en trouver une intéressante, mais, ce serait long
Via d'autres grep sur nc et sur les formats [0-9.]{5,20} ressemblant aux IPs, on trouve les informations peu à peu
On prendra garde à ne pas mélanger le port local et distant: Listening on … port xxxx signifie que xxxx est le port local

Essai avec bulkextractor

Ne parvenant pas à trouver aisément l'URL, j'ai tenté bulkextractor
Mais à part sortir des fichiers inutiles et des images à faire des cauchemars, rien de concluant

Une vidéo youtube? sérieux?

En continuant l'investigation sur les URLs, je trouve une vidéo youtube avec un titre un peu étrange

Flag

Je tente cette URL: ça marche, coup de bol

Franchement, je n'y croyais pas que cette vidéo youtube soit l'URL recherchée. Parce que je ne comprends pas pourquoi quelqu'un compromettrait une machine distante, et s'en serve pour regarder des vidéos youtube publiques!

En vrai, cette URL revient plusieurs fois et certains endroits m'avaient laissé à penser qu'elle était accédée par l'attaquant (à distance). Mais bon, il y avait bien 20% de guessing là dedans!

Flag: 404CTF{192.168.61.137:13598:JeNeSuisPasDuToutUnFichierMalveillant:https://www.youtube.com/watch?v=3Kq1MIfTWCE}