Финальная задача дорожки 2b. Объединяет навыки: чтение логов, PCAP-анализ, форензика памяти и аналитика IR.
Сценарий: 14 ноября 2024 года Kyzylorda Tech столкнулась с многоэтапной атакой. Бэкап IR-инцидентов содержит: логи веб-сервера + advisory, дамп памяти, PCAP сетевого трафика и фрагмент чата атакующих, перехваченный по неведомым причинам.
Восстанови полную цепочку из четырёх артефактов:
- (1) CVE — какая уязвимость стала точкой входа (web-logs/access.log + web-logs/vendor-advisories.md)
- (2) payload_hash — SHA-256 (первые 12 hex) инжектированного payload в памяти (memory.raw)
- (3) c2_subdomain — какой поддомен использовался для DNS-эксфильтрации (network.pcap)
- (4) exfil_label — какие именно данные эксфильтрировали (chat-fragment.txt)
Собери всё в строку и отправь на валидатор:
POST /submit?user=<id>
{ "flag": "flag{<cve>|<payload_hash>|<c2_subdomain>|<exfil_label>}" }
Если все 4 компонента верны — валидатор вернёт твой настоящий CTF-флаг для скорборда.
Если что-то не сошлось — ответ покажет, сколько компонентов из 4 правильных (без указания каких именно).
Артефакты: web-logs/ (zip), memory.raw, network.pcap, chat-fragment.txt
Формат submitted-строки: flag{CVE-2024-NNNNN|<12-hex>|<sub>.exfil-corp.kyzylorda-tech.pages.dev|<exfil_label>}
Пример: flag{CVE-2024-57688|4145715f7b05|638885.exfil-corp.kyzylorda-tech.pages.dev|customer_db}
Формат финального флага (выдаёт валидатор после успеха): flag{blue_capstone_<...>}
2b дорожкасының соңғы тапсырмасы. Дағдыларды біріктіреді: лог оқу, PCAP талдау, жадыны зерттеу және IR аналитика.
Сценарий: 2024 жылдың 14 қарашасында Kyzylorda Tech көп кезеңді шабуылға тап болыпты. IR резервтік көшірмесінде: веб-сервердің логтары + advisory, жады дампы, желілік трафиктің PCAP-ы және белгісіз жолмен ұсталған шабуылдаушылардың чат-фрагменті бар.
Толық тізбекті 4 артефакттен қалпына келтір:
- (1) CVE — кіру нүктесі болған осалдық (web-logs/access.log + web-logs/vendor-advisories.md)
- (2) payload_hash — жадыдағы инжектацияланған payload-тың SHA-256-сы (алғашқы 12 hex) (memory.raw)
- (3) c2_subdomain — DNS эксфильтрациясы үшін қандай поддомен қолданылды (network.pcap)
- (4) exfil_label — нақты қандай деректер шығарылды (chat-fragment.txt)
Барлығын бір жолға жинап валидаторға жібер:
POST /submit?user=<id>
{ "flag": "flag{<cve>|<payload_hash>|<c2_subdomain>|<exfil_label>}" }
Егер 4 компонент те дұрыс болса — валидатор скорборд үшін шынайы CTF жалаушаңды қайтарады.
Қате болса — жауап қаншасы дұрыс екенін (қайсысы екенін айтпай) көрсетеді.
Артефакттер: web-logs/ (zip), memory.raw, network.pcap, chat-fragment.txt
Жіберілетін жолдың форматы: flag{CVE-2024-NNNNN|<12-hex>|<sub>.exfil-corp.kyzylorda-tech.pages.dev|<exfil_label>}
webserver: ^flag\{webserver_[a-f0-9]{16}\}$ — Найдите CVE в логе доступа и в advisories (90 pts)filesserver: ^flag\{filesserver_[a-f0-9]{16}\}$ — Восстановите хэш payload из дампа памяти (95 pts)pcap: ^flag\{pcap_[a-f0-9]{16}\}$ — Извлеките C2-поддомен из network.pcap (90 pts)chat: ^flag\{chat_[a-f0-9]{16}\}$ — Определите, какой датасет был эксфильтрирован (100 pts)Платные подсказки. Открывайте, если действительно нужно. / Ақылы кеңестер. Шынымен қажет болса ашыңыз.
RU: Полная реконструкция инцидента из 4 источников: каждый сервис содержит один компонент финального флага, который собирается в конкретном порядке.
KK: 4 көздерден инциденттің толық қалпына келтіру: әр қызмет соңғы флагтың бір компонентін қамтиды, ол нақты ретпен жиналады.
RU: Не пересечения IOC и не корреляция timestamps — здесь композиция. Класс — извлечение по одному значению из каждого типа evidence (CVE из логов, hash из памяти, C2 из pcap, dataset из чата).
KK: IOC қиылысулары емес және timestamp корреляциясы емес — мұнда композиция. Класс — әр evidence типінен бір мәнді шығару (журналдардан CVE, жадтан hash, pcap-тан C2, чаттан dataset).