Summerschool 2022 - Joint Sigint Cyber Unit

Summerschool

Joint Sigint Cyber Unit


Joint Sigint Cyber Unit Summerschool 2022


Heb je een tuintje in je hart speciaal voor bugs? Zijn je implants al vegan? De JSCU Summerschool was nog nooit eerder zo gezond. Exploits van eigen kweek. Onbespoten crypto en biologisch dynamische bestrijding van botnets. En nee, daarvoor hoef je echt niet in de zon. Je kunt je lekker onder je parasolletje, weg van alle schadelijke straling, laven aan het blauwe licht.

Meld je nu aan!

#biodynamic #outdoor #entertainment

Voor wie?

Ben je student? Ben je bijna klaar met je bachelor informatica? Zie je de eindstreep van je master? Heb je op een andere manier technische skills opgebouwd, bijvoorbeeld door de saaie of ingewikkelde dingen in je leven te automatiseren met een paar Pythonscripts? Ben je al jaren in je eentje bezig met je PhD en wel eens toe aan een verzetje? De JSCU organiseert weer zijn legendarische Summerschool. En weer LIVE én weer zo lang als je van ons gewend bent. Voldoe je niet aan dit profiel maar heb je wel voldoende bagage? Reageer dan ook!

Waar en wanneer?

Van 25 juli t/m 5 augustus ben je onze gast. Tijdens deze twee weken verblijf je op verschillende locaties, geheel afgestemd op de omstandigheden voor optimale groei. In het weekend ben je vrij, zodat je je groene vingers de kost kan geven in je achtertuin of op je balkon.

Wat?

Neem een tandenborstel mee. Doe ons dat plezier. Een paar schone T-shirts en een laptop of MacBook. Wij zorgen voor de rest. Hebben we je biodynamische plekje aangesproken? Scan die code en doe je ding! Nooit te lang aarzelen, want ook zonder Corona is het aantal plekken zeer beperkt. We blijven het meest exclusieve computerkamp van het jaar.

Hoe meld ik me aan?

Op deze pagina staan verschillende challenges voor je klaar, waarmee je flags kunt behalen. Stort je de komende weken op die challenges, en schrijf een write-up (technisch verslag) om ons te laten weten hoe je het deed! Op basis van de write-ups worden de deelnemers geselecteerd.

Wat nog meer?

#malware #botnets #infection #vectors #bio #dynamic #malware #analysis #unpacking #sandboxing #antivirus #bypassing #pentesting #redteaming

Programma

Week 1: 25 t/m 29 juli 2022

In deze week word je bijgespijkerd, zodat je een goede basis hebt om te snuffelen aan alle facetten van ons werk! Zo leren we je wat goede Cyber Threat Intelligence is en volg je een malwarecursus. En vooral niet te theoretisch: je gaat gegarandeerd zelf aan de slag met statische en dynamische malware-analyse, Wireshark, IDA, Ghidra en Windows debuggers. En af en toe lekker scripten natuurlijk.

Gedurende de laatste twee dagen word je onder handen genomen door offensive security specialisten van de Joint Sigint Cyber Unit. Iedere deelnemer wordt deelgenoot gemaakt van onze kennis over pentesting en Red-teaming. We zetten fictieve, afgeschermde netwerken voor je op zodat je helemaal los kunt gaan. We werken met verschillende moeilijkheidsgraden. Er is dus voor elk wat wils.

Week 2: 1 t/m 5 augustus 2022

Gedurende de tweede week werk je in teams aan een casus. Je team neemt iedere dag een andere rol aan. Op dinsdag ben je bijvoorbeeld een malware analist, op donderdag een offensive security specialist. Je maakt zo kennis met alle aspecten die het werken voor de Joint Sigint Cyber Unit in zich heeft.

Challenges


Nachtschade

Behalve de formele challenges in dit groenteveldje zijn er ook nog wat informele flags verborgen op deze site. De flags hebben dit formaat:

SUMMERSCHOOL{TH1S_0NE_W4S_FR33}

Vind jij de 7 andere?

51 76 67 20 6a 6e 66 20 72 65 20 61 76 72 67 20
72 72 61 2c 20 7a 6e 6e 65 20 6f 79 76 77 73 20
6d 62 72 78 72 61 21

Alexa

Ze zeggen dat plantjes sneller groeien als je tegen ze praat. Het volgende bestand is van een onbekend custom binair formaat. Er zit een flag verborgen. Kun jij hier chocola van maken?

Hint 1: T3AgYnl0ZSAyMSB0L20gMjQgc3RhYXQgZWVuIG1hZ2lzY2ggZ2V0YWwuIEhlcmtlbiBqZSBkaXQgZXJnZW5zIHZhbj8=

Download

alexa.dat

SHA1 download: 797ed8208fbda6ebd582af0685a96809cbdf69d1

MD5 flag: 43843567930c1daa50fdca1685af6d39

Boerdle

Iemand in je vriendenkring postte het volgende Boerdle-spelletje. Zo te zien was het bíjna gelukt. Kun jij ontdekken wat het gezochte woord was?

Download
8J+fqOKsm/Cfn6jirJvirJvwn5+o8J+fqArwn5+o4qyb8J+fqOKsm/Cfn6jirJvw
n5+oCvCfn6jirJvirJvwn5+o8J+fqOKsm/Cfn6gK8J+fqOKsm+Ksm/Cfn6jwn5+o
4qyb8J+fqArwn5+o4qyb4qyb4qyb8J+fqOKsm/Cfn6gK8J+fqOKsm/Cfn6jirJvi
rJvwn5+o4qybCvCfn6jirJvwn5+o4qyb4qyb8J+fqPCfn6gK8J+fqOKsm+Ksm+Ks
m+Ksm/Cfn6jwn5+oCvCfn6jirJvirJvwn5+o4qyb4qyb4qybCvCfn6jirJvirJvw
n5+o8J+fqPCfn6jwn5+oCvCfn6jirJvirJvwn5+o8J+fqPCfn6jwn5+oCvCfn6ji
rJvirJvwn5+o8J+fqOKsm+Ksmwrwn5+o8J+fqPCfn6jwn5+o4qyb8J+fqPCfn6gK
4qyb8J+fqPCfn6jirJvwn5+o4qyb4qybCvCfn6jirJvirJvirJvwn5+o8J+fqPCf
n6gK8J+fqOKsm/Cfn6jirJvirJvwn5+o4qybCuKsm/Cfn6jwn5+o4qyb8J+fqeKs
m+Ksmwrwn5+o4qyb8J+fqOKsm+Ksm/Cfn6jirJsK8J+fqOKsm+Ksm/Cfn6jirJvi
rJvwn5+oCvCfn6jirJvirJvirJvirJvirJvwn5+oCvCfn6jirJvirJvwn5+p8J+f
qfCfn6jirJsK8J+fqOKsm/Cfn6jwn5+o8J+fqfCfn6jwn5+oCvCfn6jirJvwn5+o
4qyb4qyb4qyb4qybCvCfn6jirJvwn5+o4qyb4qyb8J+fqOKsmwrirJvwn5+o8J+f
qOKsm+Ksm+Ksm+Ksmwrwn5+p4qyb4qyb4qyb8J+fqfCfn6jirJsK8J+fqeKsm+Ks
m+Ksm/Cfn6nirJvwn5+oCuKsm/Cfn6jwn5+p4qyb8J+fqeKsm/Cfn6gK4qyb8J+f
qfCfn6nirJvwn5+p4qyb8J+fqArwn5+p4qyb4qyb8J+fqOKsm+Ksm/Cfn6gK8J+f
qeKsm+Ksm/Cfn6nwn5+p8J+fqPCfn6gK8J+fqeKsm+Ksm/Cfn6nwn5+p8J+fqOKs
mwrwn5+p4qyb4qyb4qyb4qyb4qyb8J+fqArwn5+p4qyb4qyb8J+fqfCfn6nirJvi
rJsK8J+fqfCfn6nwn5+p8J+fqfCfn6nirJvwn5+p

MD5 flag: 8048f6a14207560d35de79dbc07b9842

Cucumis Sativus

Hier tref je een webapplicatie van een augurkenteler. Is deze applicatie bestand tegen aanvallen?

Download

augurk.tar.xz

SHA1 download: 6a7d6037ec2a92507202442ecb2c8066ec32aa40

MD5 flag: d86c11bb5c0c34feaa765b8dc3fa1335

Quinoa-code

Vanochtend ontdekte je dat een plaatselijke vandaal een sticker op je favoriete plantenbak heeft geplakt! Wat zou hij je proberen te vertellen?

Download

quinoa-code.bin

SHA1 download: e7f7ca297cd940d238ca37e92fea5a8ccafd61bf

MD5 flag: 6fb2a6bba7484862607bd51e765b2a09

Pizzas are vegetables, right?

Van een Amerikaanse partnerdienst ontvingen we het volgende bericht, maar het lukt nog niet om het helemaal leesbaar te maken. Kun jij het decoderen?

Hint: SW4gQW1lcmlrYSBpcyBhbGxlcyBncm90ZXIgZGFuIGhpZXIuIEluIFRleGFzIHplbGZzIHpvJ24gdmllciBrZWVyIHpvIGdyb290IQ==

Berichttekst
MTAnMTAuNSIKMTEnMiIKMTAnMS41IgoxMCcxLjUiCjknMC41IgoxMCc5IgoxMCcx
MC41Igo4JzkuNSIKOSc1LjUiCjEwJzQuNSIKMTAnNC41Igo5JzExLjUiCjE2JzEu
NSIKOCc4Igo2JzUiCjknNCIKOSc0Igo5JzAuNSIKMTAnOSIKMTInNS41Igo5Jzci
CjEwJzMiCjEyJzUuNSIKMTEnMC41Igo2JzguNSIKMTEnNi41Igo2JzEwIgoxMCcx
MC41IgoxNic1Ig==

MD5 flag: 41a8832e086658b580d28c3bbdee38d2

Gratis en voor (n)iets

HELLUUPPPP!

Henk Henkersen is een enorme fan van paprika's en is altijd op zoek naar gratis planten om zijn immense collectie mee te verrijken. We zijn bang dat hij mogelijk het slachtoffer is geworden van phishing. Kun je dit bevestigen of ontkrachten?

Download

capsicum-annuum.pcap

SHA1 download: a524a98bf297e1c8e3c45a47be5a06bda0b03f16

MD5 flag: 3be01ca9c5a03d84397304c120e5cc27

Moestuinsimulator 2022

Vergeet Goat Simulator, met Moestuin Simulator 2022 kun jij je eigen groente en fruit verbouwen! Heb jij groene vingers? Download de early access release en start vandaag nog met tuinieren.

Opdracht

Helaas blijkt tuinieren nog niet zo simpel, ik heb het spelletje niet uit weten te spelen. Kun jij een manier vinden om toch succesvol te oogsten?

Schrijf een (of twee) exploits die misbruik maken van bugs in het programma en via deze route de flag weten te bemachtigen.

Hint: Early access games zijn regelmatig niet geheel vrij van fouten. Naar het schijnt zitten er in deze versie nog minstens twee bugs die afzonderlijk tot winst kunnen leiden. De echte doorzetter vindt en werkt ze allebei uit.

Download

moestuin_simulator_2022

SHA1 download: 483fc3736ef6ebe507f9ad6f33c0edd5a886b2ec

MD5 flag: 25fef81bff051e3efc77ba57e0f7a768

Crack-tuintje

Team J3r0m3 heeft een key generator geschreven voor je virtuele moestuintje, maar deze keygen lijkt ook wat loco zaken uit te voeren.

Download

YourVegetableGarden-KeyGenerator.exe

SHA1 download: ef9f0730e84962f5d546a918b64b821b8cfbc0f9

MD5 flag: 16e99762553c2f1b9fad22e16008c04d

Webstekjes

Een beginnende tuinier maakt soms wat foutjes op zijn stekje. Krijg jij het voor elkaar om wat geheimen op te graven?

Instructie
  1. Installeer Virtualbox
  2. Maak een host network aan als je dat nog niet hebt (File -> Host Network Manager -> Create)
  3. Importeer de virtuele machine (File -> Import Appliance...)
  4. Controleer of de netwerkinterface van de virtuele machine staat ingesteld op Host-only Adapter van je net aangemaakte host network
  5. Start de virtuele machine op
  6. Na het opstarten kun je niet inloggen. Je kunt wel bij de webservice, deze draait op poort 5000. Zo'n 10 seconden na het opstarten wordt de output van 'ip a' naar tty1 geschreven, daar zou het IP zichtbaar moeten zijn dat de VM heeft gekregen.
  7. Nu kun je van start. Bij deze challenge zijn twee vlaggen te verdienen. De eerste vlag is te vinden in "/home/webstekjes/vlag1". Bij het vinden van de eerste vlag krijg je hints voor het vinden van de tweede vlag.
  8. In deze webapplicatie zitten verschillende programmeerfouten. Voor het vinden van de vlag moet je gebruik maken van deze fouten. De broncode is beschikbaar. Om de exploit te ontwikkelen/debuggen kun je de webapplicatie op je eigen machine of in een andere VM draaien.
Download

webstekjes.ova

SHA1 download: 308d97f58f778c5ab6f3468e040588af656b05d9

MD5 flag 1: 36ff2841e545699052f2c00e5aa48b4a

MD5 flag 2: 6163eb8e69010fdb6a2be984166ee06f

Baken van licht(vervuiling)

Introductie

We vermoeden dat het netwerk van onze kassenbouw is gecompromitteerd! We hebben een network capture gemaakt waarvan wij vermoeden dat er C2 verkeer in zit: zowel beaconing als data-exfiltratie. Kun je het malwareverkeer identificeren en antwoord geven op de volgende vragen:

Wat is het IP van de C2 server?
Wat is de waarde van de flag in het beaconverkeer? Pas op: deze heeft een lichtelijk afwijkend formaat, namelijk: flag{.....}

Bonus: Is er data weggesluisd? Zo ja, wat?

Extra informatie malware

We weten van een actor dat die graag kassenbouwinstallaties aanvalt. Daarnaast weten we dat de desbetreffende actor een malwaretype gebruikt dat sterk lijkt op de malware RotaJakiro [1]. Hierdoor weten we dat er gebruikt gemaakt wordt van een custom TCP payload die de volgende structuur heeft:

Verduidelijking TCP payload - 16 bytes: UID; 1 byte: lengteveld; 1 byte: lengteveld; 33 bytes: data; 32 bytes: data

  • Het blauw/witte gedeelte is de TCP header.
  • Het blauwe gedeelte lijkt een soort UID te zijn van 16 bytes, die uniek is per gecompromitteerde machine.
  • Het oranje gedeelte met de waarde 20 lijkt de lengte aan te geven van de data in het groen.
  • Het rode gedeelte met de waarde 21 lijkt de lengte aan te geven van de data in het geel.

Bovendien weten we van de actor dat die gebruik maakt van een soort dubbele encryptie, al weten we niet precies hoe dat werkt. We weten wel dat of het groene of het gele gedeelte van het plaatje hierboven vercijferd is met AES-ECB. Daarnaast weten we van een ander incident bij een paprikateler dat de malware ook nog de volgende encryptie gebruikt:

def encrypt(p):
    encr = bytearray()
    for b in bytes(p, 'utf-8'):
        e = (b >> rb | ((b & (2**rb-1)) << (8-rb))) ^ k
        encr.append(e)
    return bytes(encr)

Hiervan hebben we helaas niet het decryptiealgoritme of de sleutel.

Tot slot hebben we het vermoeden dat het eventuele beaconverkeer niet heel regelmatig plaatsvindt. Wellicht dat een tool zoals Rita hulp kan bieden [2].

Download

allium-cepa.pcapng

SHA1 download: 5a6ec97c6efd1da451258fc8b9ec153cf8899ce7

MD5 flag: 9d69092132601ee672585cc770f5934c

Bronnen

1: https://blog.netlab.360.com/stealth_rotajakiro_backdoor_en/
2: https://github.com/activecm/rita

Schoffelen voor gevorderden

Help! Ons onderzoek loopt niet zo lekker.

We zijn naar een perkje aan het kijken maar er lijkt iets mis te gaan. Onze tooling geeft aan dat er maar één disk in zit, maar we weten 100% zeker dat het er twee zijn.

We vermoeden dat op de tweede disk gevoelige informatie staat over tuinieren.

Op het perkje zelf zijn drie vlaggetjes te vinden. De context van deze vlaggetjes is heel belangrijk voor ons. We kunnen allemaal greppen.

Op het perkje zal je ook informatie vinden van het perceeltje. Hier zijn ook drie vlaggen te vinden, maar daar kan ik nu nog niet te veel over zeggen.

Download

perkje.vma.zst

SHA1 download: 84081fc069cba807af43b8124d533790e5e6be49

MD5 flag 1: 9cdcf738e694413d7739569bce85cdae

MD5 flag 2: a63b78b820ab8c374222a63d2ba4c246

MD5 flag 3: 6d5180d5cc1f8c993fa9d1327f98ddd7

MD5 flag 4: 1204851114324586a00b11b42d81ca6c

MD5 flag 5: 200c3a4dd4652fb0aa45dadb46244b49

MD5 flag 6: 1c753881e9e353e292f782d8d17e411c

Write-up insturen


Heb jij één of meerdere challenges opgelost? Dan zijn we als JSCU erg onder de indruk van je technische vaardigheden en kom je misschien wel in aanmerking om samen met de diensten de bloemetjes buiten te komen zetten op ons zeer exclusieve computerzomerkamp. Helaas kunnen we niet iedereen uitnodigen. Het is daarom belangrijk om een creatieve of technisch sterke write-up te schrijven.

Kun je (lang) niet alle oplossingen vinden, maar heb je wel veel geprobeerd? Schrijf dat op! De manier waarop je bij het antwoord komt is vaak belangrijker dan het antwoord zelf. De meest geschikte kandidaten worden uiterlijk 15-06-2022 uitgenodigd.

In het kort
  • Stort je op de challenges.
  • Houd de deadline goed in de gaten.
  • Houd goed bij wat je doet (write-up).
  • Update je cv.
  • Stuur je cv en write-up (in PDF) naar het onderstaande e-mailadres met als onderwerp "Inzending Summerschool 2022 - Naam" (vervang hierbij "Naam" met jouw voor- en achternaam). Eventueel kun je in je mail nog extra toelichten waarom jij graag zou meedoen aan de Summerschool.
Uiterlijke inleverdatum

De aanmeldperiode voor de summerschool loopt tot 13-06-2022 om 07:59:59 uur. Stuur jouw write-up en cv uiterlijk voor deze datum naar bovenstaand e-mailadres.