Blue Team Labs Online | Windows Forensics
本調査では、Windows イメージ内に存在する VeraCrypt ボリュームを起点に、クリップボード履歴・ステガノグラフィ・文書解析を通して 隠された情報と事件の全貌を明らかにする。
Q1) What is the full path of the encrypted storage?
まず、Windows イメージ内のユーザを確認。 C:\Users を調査したところ、hsalamance がメインユーザと判断し、中を確認。
隠しファイル・フォルダを表示し、ユーザ環境および Program Files 配下を重点的に探索。
ファイルシステム探索の結果、VeraCrypt ボリュームと思われるファイルを発見。
Answer: 'C:\Program Files\VeraCrypt\HectorFiles.hc'
Q2) What Encryption Algorithm and Type of the encrypted storage? (Format: algorithm, type)
VeraCryptボリュームの暗号化アルゴリズムとタイプを確認したい。ラボタイトルをパスフレーズとして入力してみるも、合っていなかったため、どこからか特定する。
インストールされているアプリなどを見ていると聞いたことのないアプリ「Ditto」を確認。
Dittoはクリップボードマネージャであり、過去の履歴があればパスフレーズを特定できる可能性がある。
Ditto のデータを確認したところ、2023年のクリップボード履歴が保持されていることを確認。
複数のテキストを VeraCrypt のパスフレーズとして試行。
3つ目の候補で VeraCrypt ボリュームのマウントに成功。
マウント済みボリュームのプロパティから暗号化アルゴリズムとボリュームタイプを確認。
Answer: AES,Hidden
Q3) What is the version of the steno tool used to decode the secret message found inside MyDearLola.jpg?
マウントしたボリューム内から、ステガノグラフィが疑われる画像を発見。(顔写真画像の一部に不可解なノイズが入っていた)
ボリューム内にはSilentEyeというアプリケーションが入っており、調べてみたところ、ステガノグラフィーツールであることが判明。同時にバージョンもわかる。
Answer: 0.4.1
SilentEye を使用して解析した結果、復号キーの一部となる文字列を取得。(パスフレーズは先ほどのDittoに保存されているものを使用した。後から思ったが、暗号化する時系列的にパスフレーズは最も古いクリップボード履歴から使っていくのがよかった)
Q4) What is the version of the steno tool used to unhide the secret letter from an audio file? (Format: X.XX)
ボリューム内にもローカルのフォルダにも音声ファイルなんてものはないので探し回った。ないということは今ここに存在しないところにある⇒Veracryptって複数のボリュームを一つの暗号化ファイルとして暗号化できるのでは?と調べてみるとVeracryptは隠しボリュームを含めることができることが判明。
ひとまず先ほど手に入れた"romanceisdead"を入力してみた。
マウントできた。
さらに調査を進めると、 OpenPuff v4.01 がインストールされていることを確認。
Answer: 4.01
Q5) What is the full file name of the carrier audio file where Letter1_from_Gustavo.rtf can be found? (Format: filename.ext)
Q6) What is the full file name of the carrier audio file where Letter2_from_Gustavo.rtf can be found? (Format: filename.ext)
ひとまず今まで手に入れたパスフレーズを用いてopenpuffでデコードしてみるが、ハミング距離などが合わず、デコードできない。
そこでフォルダに一つだけ存在するpng画像をSilentEyeでデコードしてみると、txtファイルが手に入った。
中にはヒントが盛りだくさん。手始めに一番上のopenpuffパスフレーズを試す。
無事、Letter1とLetter2を手に入れることができた。
Answer: (Q5から、)BTLO REPLAY presents PRETIUM Retired Blue Team Lab Walkthrough.mp3、Michael Jackson - Smooth Criminal (Official Video).mp3
Q7) Going back to Letters_To_Lola.rtf there is a highlighted word, What is the spanish word and its english counterpart?
説明不要かと。
Answer: traición, betrayal
Q8) What is the exact address where Detective Rodriguez can find Lola’s body?
先ほどのヒント満載テキストの2つ目を使ってみる。Spam decodingということで、パスフレーズを用いてrtf内の文章をデコードするらしい。ただし、BTLOはコピペが100文字までしか使えない。そこで、すべてスクショしてOCRツールで取り込むことにした。
頑張って取り込み、デコードする。
Answer: La Lomita, 45640 Tlajomulco de Zúñiga, Jalisco, Mexico
Q9) What is the name of the other lover of Lola? (Format: Full Name)
Q10) Who killed Lola? (Format: Full Name)
Q11) Who plotted the kill of Lola and Javier? Provide first name (Format: Name)
ヒント満載テキストの3つめをデコードする。中には手紙と思しきファイルが二つあった。
私の親愛なる友人、グスタボ・デ・ヘスス・ガビリア・リベロ。 ローラとその亡き恋人、ハビエルの面倒を見てくれてありがとう。
私の親愛なる友人、ハビエル・アントニオ・ロドリゲス・モラレス。 地獄で私の元妻と一緒に腐れちまえ。
文脈的に推測すると明らかに浮気相手がハビエルですね。 「地獄で私の元妻と一緒に腐れちまえ。」これは明らかに夫のセリフですね。 つまり、夫がグスタボさんに殺させてますね
Answer: (Q9から順に)Javier Antonio Rodríguez Morales、Gustavo de Jesús Gaviria Rivero、Hector
Q12) What cartel does Hector Salamanca belong? Perform OSINT (Format: Cartel Name)
遺体があると思われる先ほどの質問で取得した住所とカルテルを合わせて調べてみるが、何も出てこない。
質問の主題であるヘクターサラマンカを調べてみると、映画の俳優であることが分かった。
カルテルも併せて調べてみると、「Breaking Bad」という作品のWikiにたどり着いた。そこにはカルテルが記されていた。
Answer: Juárez
Q13) Finally, What is the exact GPS location of Lola’s body? - WRITE DOWN YOUR ANSWER, YOU'LL NEED IT FOR THE FINAL HALLOWEEN LAB! (Format: longitude, latitude)
最後の問題では、spammimicを使う問題で回答に使っていないものがあるため、それを用いた。同じくスクショ+ OCRで頑張る。デコード結果は座標となり、これが答えになる。
Answer: 20.480135, -103.44236
Conclusion
本ラボでは以下のスキルを実践的に使用した。
VeraCrypt(Hidden Volume)
Clipboard Forensics(Ditto)
Image / Audio Steganography
OCR を用いた文書解析
OSINT 的な関連調査
インシデントレスポンスというよりはCTFみが高いラボだったが、様々なツールを知ることができて楽しかった。
ステガノグラフィーツールはCTFでしか見たことがないが、実際のインシデントなどで使われることはあるのだろうか。
↑ClickFix手口と、画像に悪意あるコードを隠すステガノグラフィを組み合わせた新型攻撃が確認されたそう(https://cybersecuritynews.com/hackers-using-clickfix-technique/)
