Slapdash Safeguards

にわか仕込みのセキュリティ

Retired BTLO writeup ~Countdown~

by k4b1g0n BlueTeamLabsOnline DFIR Windows

概要

時間との戦いの中で、法執行機関に押収されたノートパソコンを調査し、爆弾脅迫が本物かデマかを特定できますか?

Verify the Disk Image. Submit SectorCount and MD5 (7 points)

"C:\Users\BTLOTest\Desktop\Investigation Files\Disk Image\Zerry"にFTK Imagerで取得したと思われるCase Informationが置いてあったのでそれを参照する

  1. 25165824,5c4e94315039f890e839d6992aeb6c58

What is the decryption key of the online messenger app used by Zerry? (7 points)

これはディスクイメージの中を見てみないと分からないと思われるので参照したい。 FTKなどは用意されているツールにないので大人しくAutoPsyで解析する。 BTLOのラボはかなり重たいので、時間がかかる模様...

スクリーンショット 2026-01-20 212107

ユーザZerryDのファイルシステム内を探索するとsignal-desktopを発見した。 複合キーのあるオンラインメッセンジャーアプリはsignalなのではと思い、復号キーはローカルに保存されるのか一旦調べてみる

すると、「シグナルデスクトップはメッセージの復号鍵を目に見えやすい場所に残す」とのことで、%AppData%\Roaming\Signal\config.jsonにプレーンテキストで保存されているらしい。探すと本当にあった。

  1. c2a0e8d6f0853449cfcf4b75176c277535b3677de1bb59186b32f0dc6ed69998

What is the registered phone number and profile name of Zerry in the messenger application used? (7 points)

%AppData%\Roaming\Signal\sql\db.sqliteにSignalユーザのデータベースがあるので、用意されていたDB browser for SQLiteで開く。

スクリーンショット 2026-01-24 195348

  1. 13026482364,ZerryThe🔥

What is the email id found in the chat? (7 points)

messageテーブルには会話の履歴が残っており、送信先メアドが記載されている

スクリーンショット 2026-01-24 201013

  1. eekurk@baybabes.com

What is the filename(including extension) that is received as an attachment via email? (7 points)

おそらく、会話履歴の時間帯付近に対象のファイルを開いたと推測。 Amcacheなどを参照しようと思ったが、AutoPsyでは、最近開いたファイル(リンクファイル)を表示できたので、見てみる

image

DownloadsにPNGファイルがあり、名前が怪しいので、回答。絵文字がネックだった。

  1. ⏳📅.PNG

What is the Date and Time of the planned attack? (7 points)

⏳📅.PNGを保存して開いてみようと思ったが、Downloadsからはすでに削除されている。 そこで、Thumbcacheを参照すればサムネイルを見れるのでは、と考えた。 ToolsにはThumbcache Viewerが用意されているので確認する。(実はここからThumbcacheを見るというヒントを得た)

image

参照すると、サムネイルを得ることができた。少し謎解き要素があるが、日が昇っているので朝の9時と推測

  1. 01-02-2021 09:00 AM

What is the GPS location of the blast? The format is the same as found in the evidence . [Hint: Encode(XX Degrees,XX Minutes, XX Seconds)] (8 points)

先ほど復元したSignalのメッセージでは以下のメッセージが送られている。 image

「use Tor」のメッセージがあるので、Torの履歴を見てみる。(vol.3パーティションを開いた時から少し怪しかった)

image

places.sqliteをDB browserで開き、履歴を見ると、rot13.comに来た履歴が残っていた。

rot13を使ってデコードするのは分かったが、行き詰ったため、ヒントを参照した。どうやらMicrosoft Sticky Notesにメモが残っているらしい。

/LocalState/内のplum.sqliteに履歴が残っていると検索したら判明したため、覗いてみる。

plum.sqlite単体だと開けなかったため、/Users/Zerry/AppData/Local/Packagesごと全部保存して、plum.sqliteを開いてみる。

image

見えた!ということでrot13デコードする。

image

  1. 40 degrees 45 minutes 28.6776 seconds N, 73 degrees 59 minutes 7.944 seconds W

感想

最後の問題は初見ヒント無しで見つけるのはかなり骨が折れそう。
特にAppData/Local/Packagesを全部保存しないと開けなかったので難しかった。(こんなことをしなくても開く方法はありそう)