Notes

Afgelopen maand werd de Cybercrime Challenge gehouden: een digitale speurtocht georganiseerd door het Team High Tech Crime van de Nederlandse politie, in samenwerking met Tweakers.net en Certified Secure. In deze weblogpost geef ik de antwoorden van de challenge en de methode die ik gebruikt heb om die antwoorden te vinden.

Wie het leuk vindt om de challenge zelf te doen, moet vooral niet verder lezen!

LEVEL 1

Originele posting:

Друзья! Развертывание вымогателей в Западную Европу больше не является проблемой, благодаря нашей уникальной бэкэнда вредоносных программ: H4ck3nb3rg версии 0x7DD. Многие наши клиенты уже стали миллионерами. Наша программа подходит поймать проигравших, которые используют Windows, Mac и Android. Наши программные блоки системы с помощью наших состоянии современных ботнетов. Он будет отображать экран по умолчанию или изображение по вашему выбору. Система может быть разблокирована, заплатив сумму в MeKash ваучеры или законных счетов с авторитетными европейскими банками, такими как оранжевым львов диване, BAN-бродят и Arbo банка. Новый H4ck3nb3rg 0x7DD не обнаруживается по поддержанию правопорядка!Ежемесячно лицензия стоит 5000 евро, доставка через наш. Лука-сайте Tor. Оплата с помощью кредитной карты от всех. Только три лицензии осталось!
Miss M.

1. Wat is de naam van de gijzelingsmalware die door Miss M wordt verkocht?

Ik spreek geen Russisch, maar Google translate wel:

Deploying extortionists in Western Europe is no longer a problem, thanks to our unique backend malware: H4ck3nb3rg version 0x7DD. [..]

Het antwoord is dus: H4ck3nb3rg.

2. Wat is het e-mailadres van Miss M?

Googlen op "h4ck3nb3rg" gecombineerd met "MissM" levert een link op naar een PasteBin post met een (Engelstalige) versie van het bovenstaande mailtje. Vooral de mailheaders zijn interessant:

Hierin staat ook het e-mailadres van de afzender: missm7dd@gmail.com.

3. Vanaf welk IP adres is de e-mail verzonden?

Ook dit blijkt uit de mail headers: 193.200.198.87. (Merk op dat de 10.x.x.x adressen uit een private range komen; dat zijn intranetadressen die geen onderdeel uitmaken van het internet en voor de politie dus niet interessant zijn.)

4. Waar staat de M in Miss M voor?

Een reverse DNS lookup op het IP-adres dat we hierboven vonden leidt naar het domein van de verzender:

De M staat dus voor Monotropa.

5. Wat is de echte naam van MissMonotropa?

Googlen op "Miss Monotropa" onthult een Twitter account met daarop een een tweet van Miss Monotropa's moeder:

Miss M heet dus Liselotte Landervore.

LEVEL 2

6. Onder welke naam heeft Liselotte Landervore een Flickr account?

Wederom googlen op "Liselotte Landervore" levert een Tweakers.net account op, en een forumpost van Liselotte met daarin een link naar haar Flickr account: monomiss19.

7. Op welk adres woont Liselotte Landervore?

Liselotte heeft op Flickr vier foto's in het mapje "Thuis" geplaatst. Op één daarvan is een straatnaambordje te zien:


Met behulp van Google Maps is de gefotografeerde locatie te vinden, op de hoek van de Silostraat en de Korenstraat in Winterswijk:


In Google Streetview is het opschrift op de gevel te lezen: "Dierenartsenpraktijk Winterswijk". Hierop Googlen levert het adres op: Korenstraat 2.

LEVEL 3

Het afluisteren van de vaste en mobiele-internetverbinding van Liselotte levert een heleboel data op in de vorm van pcap dumps die met tcpdump of Wireshark geanalyseerd kunnen worden.

8. Wat is de nickname van het brein achter de ransomware organisatie?

internet.pcap bevat een plain-text conversatie via IM-client Pidgin tussen MissM en ene "Vultura" over hun criminele activiteiten:



Vultura is het brein achter de organisatie.

LEVEL 4

Een inval bij Liselotte levert een geheugendump op en een TrueCrypt container. In de eerder gelogde chat tussen Vultura en MissM wordt over deze container gesproken:

MissM: hier is de updated tc
Vultura: WERKT NIET
Vultura: MET JE JABBERPASS TOG???
MissM: ja
MissM: ehm capslock?
Vultura: lol
Vultura: was k vergeten
Vultura: ok is open
...
Vultura: wrom zit die hidden er nog in?
MissM: kak
MissM: sorry
MissM: niemand die het ziet

Deze conversatie bevat een aantal hints:

1. het wachtwoord van de container gelijk is aan Liselotte's jabber-wachtwoord.
2. capslock moet uit (dus waarschijnlijk bestaat het wachtwoord uit kleine letters).
3. er zit nog een hidden volume in de TrueCrypt container (waarvan Vultura ook het wachtwoord kent).

Verder geeft de Jabber server nog een hint over het formaat van het wachtwoord:

Message of the day:
- there are no rules
- allowed password format: ^[a-zA-Z0-9., _-]{4,6}$

De andere netwerk dump, mobile.pcap, bevat een Jabber-authenticatiepoging:


XML:

1 2 3 4 5 6

<?xml version='1.0'?><stream:stream xmlns="jabber:client" to="h4ck3nb3rg" xmlns:stream="http://etherx.jabber.org/streams" > <?xml version='1.0'?><stream:stream xmlns='jabber:client' xmlns:stream='http://etherx.jabber.org/streams' id='3807744839' from='h4ck3nb3rg' xml:lang='en'> <iq type="get" id="1"><query xmlns="jabber:iq:auth"><username>missmonotropa</username></query></iq> <iq type="result" id="1"><query xmlns="jabber:iq:auth"><username>missmonotropa</username><password/><digest/><resource/></query></iq> <iq type="set" id="2"><query xmlns="jabber:iq:auth"><username>missmonotropa</username><digest>b8f6a6eb3bd3f928647ce6b8b787eddb5dc13a74</digest><resource>old-client</resource></query></iq> <iq type="result" id="2"/>

De hier gebruikte authenticatie-methode wordt beschreven in XEP 0078. Het komt er op neer dat de digest die de client naar de server stuurt berekend wordt als hex(sha1(stream_id + wachtwoord)) of in dit geval:
hex(sha1("3807744839" + wachtwoord)) = "b8f6a6eb3bd3f928647ce6b8b787eddb5dc13a74".

Omdat het aantal mogelijkheden voor het wachtwoord redelijk beperkt is, kunnen we een programmaatje schrijven om alle mogelijkheden te bruteforcen:

C:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35

#include <stdio.h> #include <stdlib.h> #include <string.h> #include <openssl/sha.h> static char password[32] = "3807744839"; static char goal[20] = "\xb8\xf6\xa6\xeb\x3b\xd3\xf9\x28\x64\x7c" "\xe6\xb8\xb7\x87\xed\xdb\x5d\xc1\x3a\x74"; void search(int len) { char digest[20], *p; SHA1(password, len, digest); if (memcmp(digest, goal, 20) == 0) { password[len] = '\0'; printf("password is '%s'\n", password + 10); exit(0); } if (len < 16) { for (p = "abcdefghijklmnopqrstuvwxyz0123456789., _-"; *p != '\0'; ++p) { password[len] = *p; search(len + 1); } } } int main() { search(10); return 0; }

Compileren en linken tegen libcrypto (OpenSSL) en dan (ongeveer een kwartier) geduld hebben:

./crack
password is 'u9.fwh'[/cmd]
Met dit wachtwoord kan de TrueCrypt container geopend worden.

9. Naar welk rekeningnummer werd door Vultura op 25 februari 2013 een bedrag van 5.000 dollar overgemaakt?

De TrueCrypt container bevat een bestand met een screenshot van Liberty Reserve:

Het gezochte rekeningnummer is gewoon leesbaar: 6049474.

10. Welk IRC kanaal wordt gebruikt door Vultura en Miss M?

Level 4 wordt vergezeld van een "briefing" in de vorm van een YouTube filmpje van Tek Tok over de zaak "IJsvogel". Hierin wordt gesuggereerd dat criminelen soms een spatie achter hun wachtwoord zetten om een hidden TrueCrypt volume te beveiligen. Deze truc werkt hier ook en opent een tweede partitie met daarin twee bestanden:

• config: een configuratiebestand voor irssi (een IRC client)
• crypto: en een encryptie-programma

In het configuratiebestand staan gegevens over een met een wachtwoord beveiligde IRC server en het gebruikte kanaal: #VrD8r4Nv.

LEVEL 5

Ingelogd op de IRC server geeft /WHO #VrD8r4Nv informatie over de gebruikers in het kanaal:

Een van de gebruikers (in dit geval uayeuzxw) is een "control bot". We kunnen deze user aanspreken:

De control bot antwoordt met base-64-gecodeerde binary data, die lijkt op het formaat dat het crypto-programma produceert! Helaas hebben we een wachtwoord nodig om deze tekst te decoderen, en dat weten we nog niet.

Uit de memory dump blijkt dat het crypto-programma actief was toen Liselotte's computer in beslag werd genomen. Het benodigde wachtwoord staat dus waarschijnlijk ergens in het geheugen. Om uit te vinden waar precies, moeten we de crypto binary analyseren. Dit vereist enige kennis van x86 assembly.

De assembly code kan geprint worden met een commando als objdump -d crypto. De meest interessante functie heet crypto(), want die leest het wachtwoord van de gebruiker in (via een call naar de standaardfunctie getpass()) en genereert op basis daarvan een cryptografische sleutel. De assembly code van deze functie begint zo:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

push %ebp mov %esp,%ebp push %esi push %ebx sub $0x120,%esp ... mov $0x80e33bc,%eax ; (char*)0x80e33bc == "q1ePg3J1" movl $0x10,0xc(%esp) lea -0x1c(%ebp),%edx mov %edx,0x8(%esp) movl $0x8,0x4(%esp) mov %eax,(%esp) call 80482e3 <base64_encode> ; base64_encode("q1ePg3J1", 8, ebp-0x1c, 16); movl $0x80e33c5,(%esp) ; (char*)0x80e33c5 == "password" call 8092ac0 <getpass> ; char *p = getpass("password: "); mov %eax,-0x108(%ebp) mov -0x108(%ebp),%eax mov %eax,(%esp) call 808e130 <strlen> ; *(int*)(ebp - 0x100) = strlen(p); mov %eax,-0x100(%ebp) mov -0x100(%ebp),%eax mov %eax,0x8(%esp) mov -0x108(%ebp),%eax mov %eax,0x4(%esp) lea -0x7c(%ebp),%eax mov %eax,(%esp) call 808f000 <memcpy> ; memcpy(ebp - 0x7c, p, strlen(p)); ....

Deze functie reserveert eerst 288 bytes op de stack. Dan wordt er een string ("q1ePg3J1") base-64-gecodeerd naar de stack geschreven op locatie ebp-0x1c. Daarna wordt met getpass() om een wachtwoord gevraagd, en de lengte van de geretourneerde string wordt naar locatie ebp-0x100 geschreven, waarna tenslotte het ingevoerde wachtwoord naar locatie ebp-0x7c gekopieerd wordt.

Samenvattend ziet de stackframe er dus zo uit:

ebp - 0x120	= esp	: begin stackframe
ebp - 0x100	= esp + 0x020	: lengte wachtwoord
ebp - 0x07c	= esp + 0x0a4	: kopie van wachtwoord
ebp - 0x01c	= esp + 0x104	: base64("q1ePg3J1") == "cTFlUGczSjE="
ebp	= esp + 0x120	: einde stackframe

Omdat de uitvoer van de base-64-codering voorspelbaar is kunnen we die gebruiken om de stack frame in de geheugendump te vinden:

480341292 is de locatie corresponderend met ebp - 0x10c. Het is nu eenvoudig om het hele stackframe uit te lezen:

Deze dump bevat het gehele stackframe en offsets zijn relatief ten op zichte van de stackpointer. De lengte van het wachtwoord staat dus op offset 0x20: 0x12 ofwel 18 bytes. Het wachtwoord zelf begint op offset 0xa4: 7eSCoHWEA0rtMvAxWH. (Merk op dat de rest van de buffer al met willekeurige karakters geïnitialiseerd was, vandaar dat we de lengte van het wachtwoord nodig hebben om te bepalen waar het wachtwoord eindigt.)

Nu we het goede wachtwoord hebben, kunnen we het crypto-programma zelf uitvoeren om met de control bot te communiceren. De bot blijkt de volgende commando's te ondersteunen:

• help: "supported commands: info, help, history, stats, zombies"
• info: "Ransomware bot v0.45"
• history: "last login from Vultura@homefdd283.vulturacommunicationhq.com on 2013-03-08 22:34:29"
• stats: "26252 machines and received 182679 payments so far"
• zombies: "currently 9382 zombies are waiting orders"

11. Wat is de laatst bekende hostname van Vultura?

Deze blijkt uit het antwoord van de control bot op het "history" commando:
homefdd283.vulturacommunicationhq.com. (Let op: de username van de control bot en de uitvoer van "history" wisselen tijdens de challenge regelmatig!)

12. Wat is de werkelijke naam van Vultura?

Een WHOIS-lookup van het gebruikte domein (vulturacommunicationhq.com) levert de naam en het adres van de aanvrager op:

Zevendees, Oscar
Roosveldstraat 404
Haarlem, 2013 NH

Het laatste antwoord is dus Oscar Zevendees. Blijkbaar gaat de politie er gemakshalve vanuit dat criminelen hun echte naam opgeven bij domeinregistratie.