2013年1月6日

遠隔操作(ryを解いてみた

最近よく取り上げられる遠隔操作ウイルスを用いた犯行予告を行った真犯人。
この前からコンピューターを使って謎解きする感じの問題を出していますね。

なんだか、CTFっぽいぞ!!

と思ったので。




前回(山中にUSBメモリ埋めた)の問題は入手できなかったんで、
・・・いやまぁ入手できても手も足も出せなかった気がする。
その問題に関しては、以下の記事が秀逸。いやもうすごいやこのお方。

遠隔操作ウイルス作者からと思われる問題にチャレンジしてみた。 — (n)

さて、それでなく。
つい先日また新しい問題が投げられたようで、それに関しては手に入っちゃったので
知的好奇心からいろいろやってみたというお話。

問題を入手した時点で掲示板とかTwitterとかでは解き終わった人が居て、
なんとなくヒントも色々出てたので、わりとあっさりと。
「こんなことやってたなー」って思い出として書き残す感じです。
全く以って、第一人者な感じで記事にしたいわけではないです。


さて入手した問題はZIPファイルだったので、普通に解凍。
すると以下2つのファイルが。

EXってなんなんだろ・・・

QUEST_EX1は、拡張子無し
QUEST_Ex1.txtの中身は以下のとおり


ヤサヤサ ソゥウールニプソ ゲヌ
チークァミウマ トオオ シハハモンシモンチュフド
アルキゾニューツマワニヤヘス
アキヨ



意味不明ですね。
これアルベド語という、FFに出てくる架空の言語。
これの翻訳ページがあったので、そこにぶち込むと、以下の日本語が得られる。


またまた とぅるーくりぱと ぜす
きーふぁいるは おのの にななよんによんきゅうぼ
かくしごりゅーむはありませぬ
かしこ


というわけで補完すると


またまたTrueCryptです
キーファイルはaxfcアップローダーの2742495
隠しボリュームはありません
かしこ


といった感じ。
axfc→あっくすえふしー→アックス→斧
っていう感じ?で、あのアップローダーには俗称がついてます。

TrueCryptは前回の謎解きでも使用されていましたね。好きなのかな。
指示の通りアップローダーからファイルをダウンロードします。

キーファイル(桜.jpg)

んで、TrueCryptで先ほどの拡張子無しのファイルをマウントします。
するとemptyというフォルダが出てきます。


そのフォルダの中身はこんな感じ

んん???

空虚.txtは何も書かれていないテキストファイル。
色即是空.pngは真っ白の1600x1200のPNGファイル。

最初はPNGに偽装して何かを隠してると踏んで色々見たけど違う。
バイナリエディタ開いてもヘッダがちゃんとPNGっぽい感じだった(素人目)。

掲示板では「このPNGファイルがおかしい」という感じの話題がよく目に付きました。
同じファイルをペイントで作っても同じファイルサイズにならない、とか。
ファイル作成日がバグってる、とか。

んで、「うぇー、お手上げじゃ」と思っているところに某氏のお告げが。

「隠れたファイルになっておるのじゃ。とあるソフトを使えば見えるぞよ。」

そんな感じで某氏が一緒に貼ってくれたSSを見つつ、環境を再現することに。
使用したソフトウェアはAccessData FTK Imager、僕はLite版をダウンロードしてきました。
このソフトウェアを使うと、普通なら見えないけど
実はemptyフォルダの中に次の問題のファイルがあることが分かります。
さらにUnallocated space(未割り当て領域)にも何かあります。
これはよく分からんかった。

出てきたQUEST_Ex3.zip

どうやら削除済みファイルとして記録されてた?ようで。
掲示板でも「ファイル復元ソフトで調べたら出てきたー」という声がありました。
ためしに大好きなPhotorecでやってみたんだけど、んー出ない。
Vectorに置いてあった適当なファイル復元ソフト使っても出てきませんでした。なぜ。

さて話を戻して、QUEST_Ex3.zipの中はこんな感じ

ファイル名がすっげー文字化けしてんのよね

猫の写真が3点、その猫に付けられた首輪の画像が1点。
そしてQUEST_Ex3.txtの中身が以下。


最終問題です。

iesys_src.7zを格納した記憶媒体を、私の友達の裕(ゆたか)くんに預けました。
江ノ島に住む地域ネコです。(私が名前をつけました。)
ゆたかくんをさがしてください。

裕くんってのが、写真の猫のことでしょう。
わりとこの猫は江ノ島で有名らしく、Twitterにも一般の方による写真が上がってました。
んで、首輪の写真をよく見ると、microSDっぽい記憶媒体が見えます。
そして今日、警察がこの猫を見つけ、首輪から記憶媒体を回収したとニュースになっていました。

猫の首輪に記録媒体 遠隔操作“犯人”か NHKニュース


とまぁ、そんな感じで。
なんだか最後はあっけない感じでしたね。
前回の問題のほうが手が込んで、CTF感出てました。
まさかのUSBメモリ紛失に対して、急いで作ったんですかね?

あと iesys_src.7zって、これウイルスのソースコードってことですよね。
それ見つけて何になるのかなーって思いながらニュース見てました。
開発環境とか色々割り出せるのかもしれないけど、真犯人の尻尾は掴めるんですかね。


なんにせよ久しぶりにこういうのやって、不謹慎ながら楽しかったです。
謎解きって面白いよね。


1 件のコメント :

  1. 未割り当て領域で出てきたデータの一つは zip ファイルです。
    今回の場合 FAT テーブルが生きていたので一つについてはファイル名が出たというような感じになります。

    FTK は警察機関や某セキュリティ系企業で普通に使っている超高級ソフトウェアで、
    そのエンジンを使っているから復元できるのかなと。(てきとー

    あと、日本語対応が不十分なので、zip の塊で出せば文字化けしないはずですー。


    ・・・と意図的に立ち寄った人が書き込んでみます。

    返信削除