Terug

AI gegenereerde afbeelding voor 'Mnemosyne'

8: Mnemosyne

Dit is een moeilijke onderzoekschallenge. Ben je een beginner? Dan kan je beter beginnen met een andere challenge.

Het bedrijf Mnemosyne B.V. is een ABRO bedrijf. Zij verkopen hun super veilige software aan de overheid. Hun meest verkochte product, Mnemosyne, is een softwareproduct waarmee overheidsorganisaties op een veilige manier bestanden kunnen opslaan en delen.

Een systeembeheerder heeft onlangs hun nieuwe softwareproduct in beta gezet om te testen op mnemosyne.summerschool.sh. Om zeker te weten dat alles goed werkt en dat ze kan troubleshooten als iets fout gaat, heeft ze een PCAP gemaakt. Toen ze die PCAP bekeek zag ze verdacht verkeer. Ze heeft daarom direct een memory snapshot gemaakt van de server en heeft jou gebeld voor hulp.

De systeembeheerder vertelt je het volgende:

  • Het IP-adres van de Mnemosyne server is 172.16.89.143; daar draait het domein op mnemosyne.summerschool.sh. Op de server staat de nieuwste versie van hun Mnemosyne softwareproduct.
  • De server is in gebruik door de directeur van hun bedrijf: Erik. Als het goed is heeft hij een account in de applicatie, aldus de systeembeheerder.
  • Het andere account is van de systeembeheerder zelf. Zij gebruikt dat account alleen maar om een beetje rond te spelen, niet voor serieuze dingen.
  • De systeembeheerder heeft tcpdump gedraaid op de Mnemosyne-server. Ze was oplettend en heeft het PID van haar proces genoteerd: 938. Naar dat process hoef je dus niet te kijken. Tijdens het opzetten van de server heeft ze ook een of twee keer ingelogd.

Kan jij met de memory snapshot, de Volatility3 symbols en de pcap ons vertellen of er iets aan de hand is? Je mag maximaal vijf pagina’s, inclusief screenshots, gebruiken om onderstaande vragen te beantwoorden.

Let op! Deze challenge bevat malware. Doe dit onderzoek in een veilige omgeving, bijvoorbeeld in een VM.

Deze challenge is gebouwd en getest met Volatility3 versie 2.11.0. Als je problemen hebt met de challenge, gebruik dan die versie. De Volatility3 waarschuwing: ‘No metadata file found alongside VMEM file.’ kan je gewoon negeren.

  1. Zijn er verdachte processen op het systeem te zien?
    Hint: we hebben ook de Volatility3 symbols ter beschikking gesteld. Weet je niet waar je moet beginnen? Lees dan eens wat Volatility3 allemaal kan doen.
  2. Wat is de C2 server van de malware die op Mnemosyne draait? Hoe heb je deze gevonden?
  3. Hoe is de malware op het systeem gekomen? Beschrijf de kwetsbaarheid/-heden die de aanvaller heeft gebruikt om RCE te krijgen.
  4. Naast de malware, heeft de aanvaller iets achtergelaten op het systeem dat er niet thuis hoort? Beschrijf hoe je dit hebt gevonden en of het cadeautje van de aanvaller effectief is.
  5. Wat is het logo van Mnemosyne dat in het marketingdocument is getekend? Beschrijf hoe je aan dit logo bent gekomen en waar de sleutel vandaan komt.
  6. Wat is de flag?

Bonusvraag: geef hier aan wat je nog verder kwijt wilt over de challenge, hoe je dingen hebt aangepakt of wat je is opgevallen.

Bestanden

  1. capture.pcap
    checksum (SHA256): 7199bc81c6f2e51eccce96618314934c8e92c38a4ca90d1b95c309828f97d169
  2. memory_image.vmem.gz
    checksum (SHA256): c0963c0d70a9c608240d2d95a8c849cd93df8b35d3558db4d9fc7e9f6c3cb3e3
  3. Ubuntu_5.15.0-130-generic_5.15.0-130.140_amd64.json.xz
    checksum (SHA256): 62f332ab13d46814a5178d10dc45ee69159a248a160521b2a4ef86c2e8239085

Vlaggen

  1. e83c085b6f1d4daef2ee6669aee57012b87c5206