Professional Documents
Culture Documents
MỤC LỤC
1. THÔNG TIN CUỘC THI: 3
2. BỐI CẢNH: 3
3. LỜI GIẢI CHI TIẾT: 3
Bài 1: Time2Attack 3
Bài 2: Meowww (Account Creation Forensic) 6
Bài 3: Who let the cats in? (AD Attack Forensics ) 8
Bài 4: Woof woof woof (AD Attack Forensics) 9
Bài 5: Command Sharing Point (Host Attack Forensics) 13
Bài 6: Am I qualified to be your hacker? (Client Computer Attack Forensics) 15
Bài 7: Magic flag in code 17
Bài 8: Trading Node 17
Bài 9: Just 4 fun 18
Bài 10: Hide and seek 19
2
NGÂN HÀNG NHÀ NƯỚC VIỆT NAM
CỤC CÔNG NGHỆ THÔNG TIN
● Đối tượng tham gia: quản trị hệ thống, bộ phận CNTT, bộ phận điều phối,…
Thành phần trực tiếp tham gia cần có kiến thức nền tảng về hệ thống, quản trị, cơ
sở dữ liệu, phân tích log, ...
● Mỗi đội cần chuẩn bị 1 máy tính: có kết nối Internet, Windows 7 trở lên, và các
phần mềm hỗ trợ (Wireshark, ProcMon, ProcExp, AutoRun, fcrackzip, zip2john,
john, …)
● Số lượng người tham gia: Mỗi đơn vị ngân hàng là một đội, mỗi đội tối đa 4
người.
● Số lượng người tham gia: khoảng 200 người, được chia thành 45 đội.
2. BỐI CẢNH:
Vào ngày 26/03/2021, hệ thống Monitoring VADAR đã phát hiện và đưa ra cảnh
báo về một backdoor trong hệ thống Công nghệ thông tin của ngân hàng A. Nhiệm vụ
của các đội chơi là điều tra lỗ hổng mà hacker đã sử dụng để cài đặt backdoor. Ngoài
việc điều tra sự cố các đội chơi tham gia đánh giá một số hệ thống khác của ngân hàng
để xác định các lỗ hổng bảo mật nhằm khắc phục kịp thời các lỗ hổng còn tồn đọng để
đảm bảo An toàn thông tin.
Bài 1: Time2Attack
Bước 1: Sử dụng Wireshark để export tập tin time.zip
NGÂN HÀNG NHÀ NƯỚC VIỆT NAM
CỤC CÔNG NGHỆ THÔNG TIN
Bước 2: Sử dụng zip2john và john để crack password time.zip
NGÂN HÀNG NHÀ NƯỚC VIỆT NAM
CỤC CÔNG NGHỆ THÔNG TIN
Sau khi chạy john xong, thu được mật khẩu là “ !@#$% ”. Tiến hành giải nén time.zip,
thu được file rot-me.txt
Bước 3: Decode Rot-13 sau đó decode Basde64 file rot-me.txt bằng cyberchef
NGÂN HÀNG NHÀ NƯỚC VIỆT NAM
CỤC CÔNG NGHỆ THÔNG TIN
Bước 4: Nhận thấy header JFIF, ta tiến hành lưu về máy với đuôi jpeg
Bước 5: Flag nằm trong ảnh.
Và ngay phía dưới, chúng ta có thể thấy rằng có 2 phiên khởi tạo TGS thành công (4769)
mà không có TGT (4768) ở phía trước đấy. Có nghĩa là phiên xác thực này đã sử dụng
một ticket mà đã được granted trước đó để xác thực, mà không qua quá trình xin cấp mới
(4768). Vì thế có thể thấy được phương thức tấn công này là PassTheTicket - dùng ticket
được lưu trong LSA để có thể xác thực vào DC.
NGÂN HÀNG NHÀ NƯỚC VIỆT NAM
CỤC CÔNG NGHỆ THÔNG TIN
Tiếp theo, để tìm được việc ticket được khởi tạo, chúng ta filter các EventID 4768, để
phát hiện việc xin cấp Ticket:
Tìm với Client 192.168.95.133, với tài khoản Administrator, chúng ta tìm được event như
sau:
NGÂN HÀNG NHÀ NƯỚC VIỆT NAM
CỤC CÔNG NGHỆ THÔNG TIN
Ngoài ra, chúng ta cũng có thể thấy được một request mà hacker thử tạo một golden
ticket cho riêng mình nhưng thất bại:
NGÂN HÀNG NHÀ NƯỚC VIỆT NAM
CỤC CÔNG NGHỆ THÔNG TIN
Follow HTTP Stream, chúng ta thấy được nội dung toàn bộ payload
Từ đó chúng ta có thể thấy được payload dược chèn vào module WebPart của SharePoint.
Thông qua những thông tin về CVE, nhận thấy đây là CVE-2020-1811.
NGÂN HÀNG NHÀ NƯỚC VIỆT NAM
CỤC CÔNG NGHỆ THÔNG TIN
Từ phần Command, chúng ta có thể thấy được có một ứng dụng Powershell được chạy
lệnh để tải một file từ địa chỉ: 10.3.10.27:8081/2 về máy. Và từ ứng dụng powershell đó,
spawn ra những process con là cmd, và conhost chạy lệnh whoami => Có thể thấy được
file được tải về là một file shell để thực thi lệnh từ xa.
Và File Powershell nay được spawn từ process parent là EQNEDT32.exe, là phần mềm
equation của Microsoft Word, mà có một lỗi CVE phổ biến là CVE-2017-11882. Từ đó
NGÂN HÀNG NHÀ NƯỚC VIỆT NAM
CỤC CÔNG NGHỆ THÔNG TIN
có thể nhận ra là máy tính nạn nhân đã mở một tập tin Word có chứa mã khai thác CVE-
2017-11882 trên Equations.
Nhưng có tất cả 5 bản doc được mở trong quá trình này. Chúng ta áp dụng nhiều filter để
thấy rõ được timeline file nào có khả năng nhiễm mã độc nhất.
Chúng ta nhận ra được rằng mã độc chỉ được thực thi sau khi người dùng mở CV-
HuyTQ.doc. Từ đó nhận thấy rằng mã độc được chứa trong file CV-HuyTQ.doc
Thực hiện chèn payload để có thể thực hiện RCE trên server.
Đáp án: ATTT{prot0typ3_p0llut10n_2_st0nk}