Аналог t5-01 «Steppe Pipeline», но с обратной стороны: ты сидишь за столом синей команды. 4 этапа, каждый — отдельный домен blue team.
Этап 1 — Обнаружение (PCAP-анализ). В сетевом дампе одного из узлов Kyzylorda Tech найди временной маркер начала аномальной активности (UTC, HH:MM:SS).
Этап 2 — Реакция (логи). По системным логам этого узла определи имя процесса, использованного для дальнейшего перемещения.
Этап 3 — Триаж (форензика памяти). В дампе памяти узла найди один зашифрованный конфиг C2-канала; имя поля внутри — твой ответ для этапа.
Этап 4 — Отчёт (текст). На основании всех трёх предыдущих этапов сформируй однострочное сообщение для CTO в формате описанном ниже.
Финальная сборка отправляется как один флаг.
Артефакты: network.pcap, system.log, memory.dmp, report-template.md
Формат флага: flag{<time>|<process>|<c2_field>|<report_hash>} — где <report_hash> это MD5 от твоего однострочного report (всё в нижнем регистре, без пробелов).
t5-01 «Steppe Pipeline»-нің аналогы, бірақ қарама-қарсы жағынан: сен көк команда үстеліне отырғансың. 4 кезең, әрқайсысы blue team-нің бөлек домені.
1-кезең — Анықтау (PCAP талдауы). Kyzylorda Tech-тің бір түйінінің желілік дампында ауытқу басталған уақыт маркерін тап (UTC, HH:MM:SS).
2-кезең — Жауап беру (логтар). Сол түйіннің жүйелік логтарынан кейінгі ауысу үшін қолданылған процестің атын анықта.
3-кезең — Триаж (жадыны зерттеу). Жадының дампынан C2-арнаның бір шифрланған конфигурациясын тап; ішіндегі өрістің аты — кезеңнің жауабы.
4-кезең — Есеп беру (мәтін). Алдыңғы үш кезеңге сүйеніп, CTO-ға арналған бір жолды хабарламаны төмендегі форматта құрастыр.
Соңғы жинақ бір жалауша ретінде жіберіледі.
Артефакттер: network.pcap, system.log, memory.dmp, report-template.md
Жалаушаның форматы: flag{<time>|<process>|<c2_field>|<report_hash>} — мұндағы <report_hash> сенің бір жолды есебіңнің MD5-і (барлығы кіші регистрде, бос орынсыз).
logserver: ^flag\{logserver_[a-f0-9]{16}\}$ — Найдите время аномалии в системном логе (80 pts)memserver: ^flag\{memserver_[a-f0-9]{16}\}$ — Определите вредоносный процесс из памяти (100 pts)pcap: ^flag\{pcap_[a-f0-9]{16}\}$ — Извлеките имя поля C2 из PCAP (110 pts)report: ^flag\{report_[a-f0-9]{16}\}$ — Вычислите MD5 структурированного отчёта (110 pts)Платные подсказки. Открывайте, если действительно нужно. / Ақылы кеңестер. Шынымен қажет болса ашыңыз.
RU: Полная реконструкция вторжения из 4 типов evidence: каждый сервис даёт компонент финальной формулы, MD5 которой и есть ответ.
KK: 4 evidence түрінен ену толық қалпына келтіру: әр қызмет соңғы формула компонентін береді, оның MD5-і жауап болып табылады.
RU: Не пересечение IOC между сервисами — здесь композиция конкретных значений в одной строке. Класс — извлечение exact value из каждого типа (process name, time, C2 field name), затем форматирование в один шаблон.
KK: Қызметтер арасындағы IOC қиылысуы емес — мұнда бір жолдағы нақты мәндердің композициясы. Класс — әр түрден exact value шығару (process name, time, C2 field name), содан кейін бір template-ке форматтау.