Background Image

BLOG

DKHOS - Forensic 500 - Son Parça
17 Şubat 2018 CTF

DKHOS - Forensic 500 - Son Parça


Soru Çözümü : 

Soruda bir hafıza imajı ve data dosyası verilmişti. Data dosyası ransomware tarafından verilen şifrelenmiş bir dosyadır. Yarışmacıların hafızada ilgili ransomware tespit etmeleri beklenmekteydi. İlgili ransomware ailesi tespit edildikten sonra decrypter aracının kullanılarak verilen data dosyası decrypt edilebilinecek ve flag elde edilecektir.

For400 sorusuna benzer şekilde Volatility image komutu ile sistemin  Win7SP0x86 profiline sahip olduğu tespit edilebilinirdi. Aşağıdaki komut ile tüm processleri dump edebiliriz.

#vol.py -f for500.img --profile=Win7SP0x86 procdump -D .

Elde ettiğimiz dumplar içerisinde 3108 proccess idli dosya ilgi çekici stringler içermekteydi. 

 

İnternet üzerinden yapacağımız araştırma ile ilgili process in 7ev3n zararlı yazılımına ait olduğu ve bu ransomware tarafından şifrelenen dosyaların kurtarılabilindiği görülebilinir.

Dosyaları kurtarmak için aşağıdaki saydafa yer alan araç kullanılabilinmektedir.

https://hshrzd.wordpress.com/2016/06/13/decoder-for-7ev3n-ransomware/

İlgili araç dosyaların R5A yada R4A uzantılarından birine sahip olması gerektiğini belirtmektedir. Deneme ile doğru uzantının R4A olduğu tespit edebiliriz. Sonrasında ilgili dosyanın şifrelendiği sistemdeki dosya yonuna ihtiyaç vardı. Araç bize dosya isminin Chrysanthemum.jpg olduğu söylüyor. Bu isimde yola çıkarak ilgili dosyanın Windows işletim sistemiden yer alan varsayılan resimlerden olduğu ve yolunun C:\Users\Public\Pictures\Sample Pictures tahmin edilmeliydi.

Decryption işleminden sonra flagi içeren dosya elde edilecektir.