参考

• CTFmanさん解説
• yam7k5さん解説

• 悪意部品
  • 分からんワード辞書
    • PLEAD: BlackTechという攻撃者集団が使ったマルウェア
      • RAD機能：Remote Administration Tool, Remote Access Tool
      • 攻撃対象のコンピュータにアクセスできるようにするためのマルウェア
    • C&C: コマンド&コントロール。ボットネットや感染コンピュータのネットワークに対し、不正なコマンドを遠隔で頻繁に送信するためのサーバー。指示サーバ。
  • 問題文で引用されているここを見ると、RC4で暗号化されているので、復号化しよう
  • こんな感じのpythonでデコードすると、URLっぽいのが出てくるので、ドメインをこたえるとAC
  • CyberChefというサイトがある。

• 標的攻撃1
  • ディスクイメージを解析するにはFTK
  • FTKというデジタルフォレンジックの有料ソフトがある
  • この中でもFTK Imagerが無料で使えるので取ってきて使ってみよう
  • 中を見るとa.EXEというのがあるので、右クリックでハッシュをとってきて、答える

• 標的攻撃2
  • EXEの解析方法として、fileコマンドやstringsコマンドがある
  • stringsコマンドを使うとユーザーを追加してそうなコマンドがあるので、そこから「SUPPORT_388945a1」を抜き出す

• 標的攻撃3
  • 「SUPPORT_388945a1」でググる
  • 最初に出てきた日本語のサイトを見ると、OceanLotusというグループみたい
  • ググるのもいいけど、こういうすごい資料もある

• 建屋制御1
  • pcapファイルなので、とりあえずWireshark
  • プロトコルはBACNet
    • 建物設備の総合的制御に使うプロトコル
    • locationで検索をかけるとそれっぽいものが引っかかってくる

• 建屋制御2
  • 工場のIPは10.0.0.101と10.0.0.102のどちらかで、UTC時間のそれっぽい時間で検索をかけると、それっぽいパケットが絞られてくる
  • その中身でそれっぽい値をこたえると答え

• 情報漏洩1
  • 難読化されているので、まずは何とかする
  • 細目で見てみると、echoとかあり、%?%は環境変数っぽいので消せそう
  • 消すコードを書く
  • https://gist.github.com/hamayanhamayan/c7731e5607f6334879a5ec2784d6da51
  • これで消すと、Tool Nameとあるので、それを答える

• 情報漏洩2
  • FTPとあるので、繋げてみると、そこにファイルがあり、答えが書いてある

• 暗証保護
  • http://mnctf.info/mnctf2019/task/admin/webchecker.php?host=localhost&path=mnctf2019%2Ftask%2Fadmin%2Fpassword.php%0D%0A
  • ヘッダーインジェクションをする
  • 改行をつけてやればいいので、「%0D%0A」をつけると出てくる