Nos proporcionan el ejecutable therabbit.exe.
Si lo ejecutamos, descarga del servidor del reto un fichero llamado metienescontento.arj, pero en seguida vemos mediante un editor hexadecimal que es un RAR, y al intentar descomprimirlo, que tiene contraseña.
Atacar por fuerza bruta la contraseña del RAR es lentísimo, así que decidimos analizar el ejecutable porque parece lógico que contenga la contraseña para descomprimir el archivo que ha bajado.
Analizando las cadenas contenidas en el binario vemos que está comprimido con UPX:
>strings -q therabbit.exe|head
!This program cannot be run in DOS mode.
\>%
\>J
|)E
\>!
Rich
UPX0
UPX1
.rsrc
3.00
Descargamos el packer de su web http://upx.sourceforge.net/ y lo utilizamos para extraer el binario original:
El ejecutable desempaquetado resulta ser un script de AutoIt transformado en ejecutable, como podemos observar en las cadenas del ejecutable o en las propiedades del mismo:
Investigando un poco, llegamos a esta entrada en el fabuloso blog de Didier Stevens:
http://blog.didierstevens.com/2007/10/02/autoit-malware-revisited/
Siguiendo sus instrucciones, nos bajamos la versión de AutoIt apropiada y mediante Exe2Aut recuperamos el script original, por suerte sin contraseña.
Es muy fácil localizar la parte interesante, y a primera vista llama la atención una variable con el valor "car411o" que apesta a contraseña. Además vemos otras 2 variables que tampoco se utilizan, con los valores "unsoldo" y "fai":
Me puse en la piel de B4RRe1R0, me impregné de acento gallego y la solución salió sola: "faiunsoldocar411o".
Con esta contraseña podemos descomprimir el fichero descargado y obtenemos el token:
>cat cozashula.txt
eze_ezpanyolitoSexydem0da
Muy buena la solución. Me ha gustado eso de ponerse en la piel del galego, era lo suyo con ese 'fai' perdido.
ResponderEliminarMe parecían más complicadas a priori, sobre todo la del beep-beep :-(