Friday, November 9, 2012

2008 Malware Challenge


In 2008, Greg Feezel and I published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following malware analysis challenge. The goal was to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 questions below and submit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m back to us for prizes. While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenge is no longer going on, we wanted to publish it again so those that wished to try it could.

The malware is contained within a password protected zip file named malware.zip. The password is “infected”. The MD5 hash of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files are:
  • 59a95f668e1bd00f30fe8c99af675691 malware.exe
  • 31d2ec3b312d0fd27940aae5c89e3787 malware.zip

Situation:

A system administrator within your organization has come to you because a user's PC was infected with malware. Unfortunately, anti-virus is unable to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator was able to recover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 suspected malware executable. Your job is to analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware.
Participants should download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware sample and analyze it. The end result should be a document containing details on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis performed. The analysis document can be written in any form, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following questions and statements should be answered within it. Participants should note when questions are being answered.
  • Describe your malware lab.
  • What information can you gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware without executing it?
  • Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware packed? If so, how did you determine what it was?
  • Describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware's behavior. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words - what files does it drop, what registry keys does it modify, what network connections does it create, how does it auto-start, etc?
  • What type of command and control server does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware use? Describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server and interface this malware uses.
  • What commands are present within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware and what do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y do? If possible, take control of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware and run some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se commands, documenting how you did it.
  • How would you classify this malware? Why?
  • What do you think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 purpose of this malware is?
Bonus questions:
  • Is it possible to find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware's source code? If so, how did you do it?
  • How would you write a custom detection and removal tool to determine if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware is present on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system and remove it?

Blog Post Down

Yesterday I published a post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2008 malware challenge that I helped put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and how I felt it was being mis-represented in anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security company's (pay for) CTF.

The person responsible for that CTF posted a comment on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog and asked me to contact him, stating it was really a mistake and no ill-intent was involved. I believe him.

The security industry we work in is very small. If your integrity is besmirched* cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n that can have negative effects on your career or company. I would not want to be responsible for that in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of a simple oversight.

That is why I removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blog post. In all fairness, I should have contacted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m first before posting anything.

I am still posting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware challenge and will do so later today.



* Woohoo! I got to use besmirched in a blog post!

Friday, November 2, 2012

NEOISF Puzzle Solution

A few people emailed me with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 puzzle I posted, but I figured I'd post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution for those that wanted it.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 puzzle, Van Helsing is attempting to break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crypto that Dracula is using to try and find him. Fortunately for Van Helsing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program is free and he can download it to see if he can crack it. He ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program and typed in "vampire_vampire_vampire" and got back "R1lUR1hKXGhHWVRHWEpcaEdZVEdYSlw=". 

Anyone who has done any type of network analysis, or looked at a raw SMTP message, should recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output as base64 encoded. Base64 is an algorithm that converts binary data to ASCII so it can be transferred over protocols that do not natively allow binary (e.g. SMTP). It does this by converting every 3 bytes of data to 4 bytes of ASCII. The "=" character is used as padding in case more characters are needed and is often a give-away.

Base64 can be converted using many methods, but since Van Helsing is awesome he is using Linux and uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 base64 command to do so.

$ echo -n R1lUR1hKXGhHWVRHWEpcaEdZVEdYSlw= | base64 -d -
GYTGXJ\hGYTGXJ\hGYTGXJ\

NOTE: Van Helsing really should have redirected cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 output to a file since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 characters could have been binary.

The base64 decoding produced a string that has 2 interesting qualities.

First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 base64 decoded string is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same length as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string he entered. This means that whatever algorithm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encryption program is using may be doing a 1-for-1 character encryption. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 characters in his plaintext is being encrypted one at a time.

Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a pattern of "GYTGXJ\h". The pattern is 8 characters long, which just happens to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 length of "vampire_". Coincidence? Probably not. 

The type of encryption that immediately popped into Van Helsing's head that can have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se properties is XOR encryption. XOR is a boolean logic function that can be applied in encryption. This is done by taking a key and XOR'ing each of its bytes against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 characters in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plaintext. 

One property of XOR encryption is that if you take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plaintext and XOR it with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ciphertext, it will reveal cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key! Van Helsing knew this and XOR'd his plaintext against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ciphertext he got. (He wrote a quick Python script to do so):

$ python xordecode.py GYTGXJ\hGYTGXJ\hGYTGXJ\ vampire_vampire_vampire

18971897189718971897189

Voila! XOR'ing each byte of his plaintext with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ciphertext he received returned a pattern of "1897", which must be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key!

Taking that as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key, he cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n base64 decoded Dracula's message and applied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key of 1897 to get:

I will be at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ohio Information Security Summit.

Now Van Helsing knew where he would be and could destroy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fiend!

For those in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 know, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key does have some significance. :)



Monday, October 29, 2012

NEOISF Puzzle

This year, I designed a crypto puzzle for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Norcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ast Ohio Information Security Forum to use at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ohio Information Security Summit (which I unfortunately was unable to attend). I found out that no one got cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer to it, although a number of people tried.

I decided to put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 puzzle up here for everyone to check out and try to solve. I don't have any prizes to give away so this is just for fun. The solution will be posted on November 1.

Also, while I'd love to hear if you solved it, please don't post cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comments so ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs have a chance.

Dr. Van Helsing is tracking Dracula again. Using his brilliant hacking skills, he was able to break into Dracula's email account and obtained cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following encrypted message.

---------------------------------------------------------------------


From: dracula@bloodbank.ro

To: renfield@sanitarium.edu
Subject: My Itinerary

eBhOXl1UGVVUGFhDEUxRUhF3UV5eGHBZV1dLWlBMUFhfGGpSUk1LXkVBGWREVVReRRY=


---------------------------------------------------------------------


Through his previous interactions, Van Helsing knows that Dracula uses an encryption program called "31337 Crypt", that utilizes a proprietary encryption protocol. He downloaded cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program and typed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program to be encrypted:


vampire_vampire_vampire


The result was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encrypted line of:


R1lUR1hKXGhHWVRHWEpcaEdZVEdYSlw=


Within moments Van Helsing knew what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "proprietary" encryption was and had decrypted Dracula's message. What was Dracula's message?

Good luck!