Desafío 11 de ESET
abril 27, 2010 6:00 pmEn esta oportunidad un cliente ha suministrado este enlace que dice ser sospechoso para que procedamos a su análisis y posteriormente le brindemos un informe en español al respecto.
Como siempre el primer usuario en dejarnos la solución en los comentarios, recibirá una licencia de ESET NOD32.
Cristian Borghello
Director de Educación
Promedio: 524 Comentarios en “Desafío 11 de ESET”
Páginas: [2] 1 » Mostrar todos
Páginas: [2] 1 » Mostrar todos
4-10-2010 a las 6:54 pm
Hola claudio,
Por tema de costos, contacta a alguno de nuestros Partners Autorizados en tu región. La última versión disponible es la 4.2 así que con ella estás protegido.
Sebastián
3-10-2010 a las 9:46 pm
hola quero cuanto cuesta eset 4 en pesos chilenos y cual vercion sigue despues de la 4.2
30-4-2010 a las 12:14 pm
[...] el desafío 11 se trata de analizar un supuesto sitio web que oculta un script y un pequeño criptograma. El [...]
30-4-2010 a las 1:17 am
La respuesta es laboratorio eset ?
29-4-2010 a las 8:28 pm
Si en realidad he quedado primero, quisiera regalar esta merecida licencia al segundo ganador, pues en el anterior reto ya conseguí una y no sería justo que yo la obtuviera. Gracias a Cristian y ESET por estos entretenidos juegos. Un saludo a todos y enhorabuena al ganador.
29-4-2010 a las 7:43 pm
laboratorio@eset
29-4-2010 a las 6:53 pm
Hola,
En este momento hay 2 personas que han respondido correctamente con las dos palabras que forman parte de la solución (la primera de estas personas en responder es el ganador).
De todos modos he aprobado algunos comentarios que dan más pistas de por donde va la solución, para que los demás sigan jugando.
Cristian
29-4-2010 a las 5:26 pm
lrreaaisbtoeoo@t >>> ESET LABORATORIO
29-4-2010 a las 4:46 pm
Buenas,
expongo a continuación lo que creo que es la solución.
Lo primero que hice fue acceder al enlace que nos daban:
http://blogs.eset-la.com/laboratorio/wp-content/uploads/2010/04/desafio-11/
Al acceder al mismo vi que se mostraba un error 403 forbidden con solo texto.
Como sabia que había gato encerrado probé varias cosas. Mire el código fuente por si se había dejado alguna pista, examiné las cabeceras, nunca se sabe…
Tras un periodo de reflexión llegué a la conclusión de que al ser un reto relacionado con el malware es posible que solo respondiera con un exploit ante determinados User-Agents antiguos, así que probé con distintos valores. Así conseguí descubrir que con todos los UsersAgent de los navegadores mas conocidos se devolvía la misma página de 403 con solo texto, pero cuando desaparecía el User-Agent o contaba con un valor aleatorio se mostraba una página 404 personalizada, en html, siguiendo la estética del blog.
Tras muchos intentos y tras leer alguna pista en los comentarios
me dio por comparar la página 404 que da el blog de eset con esa que se mostraba. Y en efecto no eran iguales. Así llegue a encontrar un script que no se cargaba en la página 404 normal. Estaba en la siguiente URL:
http://blogs.eset-la.com/laboratorio/wp-content/uploads/2010/04/desafio-11/sendus.js
El contenido de la misma era este:
lrreaaisbtoeoo@t
A primera vista parecía casi una cadena válida pero le faltaba algo, probé con Rot13 y todos los XOR posibles pero nada no había forma. Así que pregunte en los comentarios y recibí la pista definitiva, “era una dirección de correo”. Sabiendo esto pensé en algún tipo de cifrado que jugaba con la transposición de caracteres. Así que conté los caracteres, 16, buen número. Después intentando hacer algún tipo absurdo de criptoanálisis me dio por dividir la cadena en dos partes, y hacer lo mismo con el resultado, logrando sorprendentemente el objetivo buscado:
lrre
aais
btoe
oo@t
Leyendo de arriba a abajo: laboratorio eset
Gracias por el reto. Un saludo!
29-4-2010 a las 9:57 am
Estimados,
Otra pista: no hay que modificar archivos pero sí verlos para luego descifrar una “dirección de correo electrónico”.
Cristian
29-4-2010 a las 8:08 am
Obtengo una cadena cifrada pero no se si esa es la resolución. Supongo que habrá que hacer algo mas. Pero no tengo ni la menor idea de el que.
Solo quiero saber si hay que hacer algo mas.
Gracias por estos retos.
29-4-2010 a las 12:01 am
¿Deberia encontrar la forma de acceder al servidor web (Apache), para darle permisos de lectura a ese directorio, o descubrir que condicion se tiene que cumplir para acceder al sitio (por ej. estar en un determinado rango de IP)?. Efectivamente se trata de un “Forbidden” (HTTP Status Code 401) por parte del servidor, que lo he visto analizando las cabeceras del response de HTTP, no se me ocurre ninguna forma de acceder a un directorio protegido que no sea modificando el .htaccess de Apache… Es esto así, o la cosa es mas simple?.
28-4-2010 a las 9:20 pm
Estimados,
A los que se han dado por vencidos y a los que siguen participando va una pista: el desafío está dividido en dos partes y uno de los “tres chiflados” puede ayudar a resolver la primera parte.
Cristian
28-4-2010 a las 6:18 pm
Wow! Este es muy bueno, Cristian! Me rindo…
Enhorabuena a los que lo han resuelto!
28-4-2010 a las 6:02 pm
Alguna ayuda para los que no pueden entrar por el error 403. Si quito el user agent me redirige al error 404, he intentado varias cosas pero no funcionan.
28-4-2010 a las 3:42 pm
Thor, vas por el camino correcto pero no se trata de que tú tengas que inyectar algo.
Cristian
28-4-2010 a las 3:36 pm
Me he fijado que se produce un comportamiento curioso modificando el UserAgent, se devuelve una página distinta. Ademas el UserAgent es escrito al comienzo de la página y se puede inyectar código html o javascript. Pero no se como seguir avanzando. ¿Voy bien encaminado?
28-4-2010 a las 1:50 pm
Rafael, luego de tu comentario aún sigue faltando
Edwin, sigue intentando.
Cristian
28-4-2010 a las 11:29 am
el codigo fuente del enlace roto parece real…
28-4-2010 a las 10:43 am
Estos son los caracteres que almacena el archivo al cambiar de User-Agent:
“lrreaaisbtoeoo@t”
Por lo tanto, el enlace es aparentemente inofensivo.