Nuevo reto: captura de e-mail

Después de algún tiempo sin proponer ningún reto en el blog, volvemos a la carga con un nuevo caso donde tocará poner en práctica algunas técnicas que pueden ser utilizadas para obtener información oculta que pueda existir dentro de ficheros aparentemente “normales”.

En este caso, se ha capturado un e-mail (con el archivo attachment.rar adjunto) de una banda acusada de estar explotando vulnerabilidades en diferentes sistemas para instalar malware y así poder monitorizar todo lo que los usuarios hacen en sus máquinas.

Aunque a simple vista el archivo capturado (attachment.rar) únicamente parece contener tres fotografías, se cree que en él se dan algunas instrucciones o pistas sobre qué tipo de acciones están realizando para instalar el malware.

Como es habitual, se han facilitado dos archivos rar que requieren contraseña para ser visualizados. El primero de ellos (validator1.rar) se abrirá con la solución de la parte 1 del reto, y el segundo (validator2.rar) con la solución de la segunda parte. Remarcar que el reto no consiste en intentar crackear estos dos archivos comprimidos, sino que únicamente se facilitan para que se pueda comprobar si se ha llegado a la solución correcta o no. En esta ocasión, para poder resolver la segunda parte del reto, es necesario haber resuelto previamente la parte uno.

Como siempre, la solución será publicada en el blog en unos días. De todas maneras, si vemos que existen dudas sobre la resolución del reto, se publicará alguna pista durante el transcurso del mismo.

Espero que disfrutéis del reto ;)

Comments

  1. Excelente. A trabajar!

  2. Jose Medina says:

    Se ve muy interesante este reto!, soy nuevo en esto del forensic. Alguien podrìa decirme por donde su puede empezar para resolver esto?

    Gracias de antemano por la ayuda!

  3. Rafael Páez says:

    Ánimo Alejandro, a ver si lo consigues :)

    Jose Medina, la esteganografía básicamente consiste en ocultar información en lugares para que parezca que no haya nada escondido, por lo que es muy conveniente saber como se forman los archivos a analizar (jpeg, png, rar…), cabeceras, etc. De esta forma podremos ver si existen “cosas raras” en ellos. Además, existen muchos métodos típicos para ocultar información en imágenes como podría ser LSB (Least Significant Bit), EOF (End Of File), etc. En este mismo blog podrás encontrar explicadas algunas de estas técnicas y algunos otros retos solucionados para que puedas aprender ;) De hecho yo tengo bastantes artículos sobre esteganografía, así que si quieres echarles un vistazo aquí te dejo el link: https://www.securityartwork.es/author/rpaez/ De todas formas, lo mejor para aprender es investigar uno mismo y leer bastante jeje

    Mucha suerte con el reto :)

    Saludos
    fikih888

  4. Rafael Páez says:

    Parece ser que hay gente que se ha atascado solucionando el reto, así que ahí va una pista para cada parte:

    · Primera parte: “La estructura de las cabeceras son muy importante en los archivos”
    · Segunda parte: “Julio Cesar existió ANTES que el hexadecimal y el ascii”

    Buena suerte a tod@s ;)
    @fikih888

    ########

    It seems that some people got stuck solving the challenge, so there you go some clues for each part:

    · First part: “Structures in headers are really important in files”
    · Second part: “Julius Caesar existed BEFORE hexadecimal and ascii”

    Good luck to everyone ;)
    @fikih888

  5. ¡Este no hay por dónde cogerlo! 3 fotos dan para mucho.
    Y si encima nos das acertijos en las pistas, entonces la j0dim0s. xD

  6. Rafael Páez says:

    Hola jeje,

    Esas pistas no trataban ser acertijos, de hecho ayudaron a alguna gente que se había atascado :P

    La primera de ellas es para saber por donde empezar para obtener la primera solución y parte de la segunda (mirando estructuras de cabeceras de tipos de archivos por ejemplo ;).

    La segunda, te daba una pista de como obtener la solución final si estabas atascado en la segunda parte (habiendo llegado a algo que salta bastante a la vista analizando las imágenes :P).

    Ánimo! ^^

    Saludos
    @fikih888