Cyber Investigator CTF
Enlace del CTF: https://investigator.cybersoc.wales/
Última actualización
¿Te fue útil?
Enlace del CTF: https://investigator.cybersoc.wales/
Última actualización
¿Te fue útil?
Nuestro equipo de inteligencia de señales ha captado una transmisión procedente de China Occidental y tenemos razones para creer que puede proporcionarnos algún tipo de código que podría estar destinado a un operativo de campo suyo. Nos gustaría saber de qué se trata.
El equipo de traducción no está disponible para nosotros en este momento, así que me pregunto si puede utilizar alguno de sus trucos digitales para averiguar cuál es el código en la grabación que he adjuntado.
Formato de bandera esperado: ###############
Sabiendo que el idioma que se habla en China Occidental es el Chino, podriamos usar una herramienta que transcriba audio a texto y asi saber el codigo proporcionado.
En este caso use la pagina veed.io y obtuve el codigo.
Nos han concedido autorización para intervenir un teléfono perteneciente a una víctima de secuestro; no se ha realizado ninguna llamada desde que desapareció, sin embargo, hace poco se realizó una llamada a un banco en la que la persona que llamó introdujo el número de una tarjeta de débito.
¿Puede averiguar el número de 16 dígitos de la tarjeta para que podamos rastrear la actividad de gasto asociada a esta tarjeta? Esto será de gran ayuda en nuestro esfuerzo por localizar a quien pueda ser un potencial sospechoso en este caso.
Formato de bandera esperado: ################
En el audio se puede escuchar el marcado de los numeros de un celular, esto es llamado DTMF.
Al cada numero tener un tono diferente y unico, podemos usar una herramienta que lo decodifique y nos de los 16 digitos de la tarjeta. En este caso use DTMF Decoder.
Como parte de una investigación sobre un individuo que creemos responsable de una serie de amenazas por correo electrónico dirigidas a políticos de alto nivel, hemos estado desenterrando cajas de pruebas de varios bosques del Reino Unido.
De unos metros bajo el bosque de Grizedale, hemos recuperado una cinta de casete que, cuando se reproduce, contiene lo que suena como un discurso irreconocible. No sabemos quién es o qué está diciendo.
No está claro qué hacía el sospechoso con esto, o si tenía intención de que lo encontráramos.
¿Puede identificarnos quién aparece en la grabación? He adjuntado una copia digital de la cinta.
Nota: sólo tienes 3 intentos, ¡así que no te limites a adivinar!
Formato esperado de la bandera: firstName(space)lastName
Cuando escuchamos el audio, podemos identificar que esta invertido, lo invertimos de vuelta usando Invertir audio y asi tenemos el audio original. Despues usando la herramienta de la actividad una, sacamos el texto de todo lo que dice esta persona, y buscamos quien lo dijo.
Uh oh... dime hacia donde se dirige para que podamos avisarles que se acabó.
Nota: Sólo tienes 3 intentos para este.
Formato de bandera esperado: nameOfTarget
En la imagen se puede ver el espectro de un audio, entonces busque herramientas que puedan transformar el espectro en audio. Encontre varias que no funcionaron pero Photosounder resulto positiva.
En el audio se puede escuchar que dice Latitud 34.67...... y Longitud 32.59........., busco las cordenadas y nos da el lugar exacto que termina siendo la flag.
Uno de nuestros agentes encubiertos ha estado siguiendo a un presunto cabecilla de la delincuencia financiera que no deja de visitar un calabozo en una zona apartada de Londres; no tenemos ni idea de lo que hay allí.
Hace un par de noches, el agente se dio cuenta de que había un teclado PIN digital que se utilizaba para abrir la puerta de la taquilla y, poco después de que el sospechoso entrara y cerrara la puerta tras de sí, nuestro agente se acercó rápidamente al teclado PIN y tomó una fotografía de las llaves con una cámara térmica.
La investigación sobre el teclado PIN revela que sólo acepta códigos de cuatro dígitos, así que eso debería facilitar las cosas.
¿Cuál es el código PIN de la cerradura? Nos resultará mucho más fácil hacer una entrada discreta para averiguar qué hay ahí dentro sin comprometer nuestra investigación forzando la entrada.
Nota: Sólo tienes 5 intentos, así que inspecciona la imagen con mucho cuidado antes de comprobar tu respuesta.
Formato de bandera esperado: ####
Teniendo en cuenta que el informante saco la foto en el momento despues de que el ladron entro, podriamos deducir que el ultimo numero es el mas caliente y el primer numero es el mas frio, por lo que nos queda 4185
Hemos estado vigilando los movimientos de algunos conocidos DJs de discoteca con pasados poco claros.
Hace un par de días, estacionamos a uno de nuestros investigadores frente a un club nocturno que, según averiguaciones previas, está relacionado con una trama de blanqueo de dinero procedente del narcotráfico. También sabemos que todos los DJ a los que hemos estado siguiendo utilizan Spotify para su música en los locales.
Por desgracia, el DJ de la noche debió de utilizar otra entrada, ya que nuestro equipo de vigilancia no detectó a nadie que coincidiera con el perfil de ninguno de nuestros sospechosos esa noche.
Nos sería útil conocer el nombre de la canción que suena en la grabación adjunta, ya que nos permitiría rastrear los historiales de escucha de nuestros sospechosos y cotejarlos para identificar quién estaba allí en ese momento.
Esperamos reclutar a este DJ en particular y aprovechar la probable confianza que se ha establecido con la dirección del club para utilizarlo como informante. Esto nos ayudará a infiltrarnos en la banda de narcotraficantes que dirige la discoteca y nos acercará al desmantelamiento de su operación.
Formato de bandera previsto: XXXXXXXXX
Para este caso podemos usar una herramienta que nos permita identificar la cancion mediante el audio. En este caso use Shazam, pero hay muchas otras aplicaciones que hacen lo mismo.
Recientemente hemos realizado una búsqueda de un yate aparcado en un amarradero de Hawai; curiosamente, la búsqueda en la documentación de la embarcación no arroja ningún resultado y no tenemos tiempo para llamar a alguien con suficientes conocimientos de barcos para que nos proporcione más información.
Sin embargo, hemos encontrado lo que parece ser una dash cam con imágenes de alguien conduciendo a través de lo que sospechamos es un pueblo o ciudad en Asia.
He adjuntado una imagen que muestra una señal de tráfico de uno de los clips encontrados en la cámara, ¿podría echarle un vistazo y ver si puede averiguar dónde estaba el conductor en ese momento?
Primero buscamos el nombre de cada direccion que nos da y luego vemos las coincidencias. Lo cual nos lleva a Shanghai, donde se unen los 4 lugares
We believe we've found an address where a number of victims of human trafficking are being held. We know that there are anywhere between 1 and 3 grunts posted to guard the premises at any given time, but in the early hours of the morning, they seem to watch TV most of the time.
I have been thinking about a distraction technique to get them all into the living room at the same time whilst we make quiet entry into the property before hurling a flashbang into the lounge and getting the drop on them, hopefully without firing a shot so we can keep them in a fit state to tell us all about the intricate workings of their organisation.
A way of getting them together to deliberate might be to cause a problem with their TV.
Our guys sat on the hill not far away and spotted the below remote control in one of their hands, together with a TV as pictured on the unit in the lounge.
I know that these remotes are programmable, could you find out the code to set the remote to control this brand of TV?
This will enable us to switch off the TV, fiddle with the sound, change inputs and so on - hopefully causing a stir long enough to distract them.
Pegamos la imagen en Google Lens y descubirmos que el modelo es Sky Q Voice-Controlled, buscamos la pagina de Sky page la cual nos pregunta por la version del control y la marca del TV para darnos los codigos.
Hemos estado rastreando una célula en el cuerno de África y un objetivo en particular ha caído bajo sospecha. Nuestro agente desplegado allí ha descubierto que el objetivo siempre guarda su pistola en un pequeño compartimento del maletero de su coche, que tras algunas investigaciones sobre este modelo concreto de coche, mide 200 mm x 135 mm (largo x ancho).
Nuestro agente cree que ha recuperado el arma del objetivo, pero para ayudar a confirmarlo, tenemos que establecer si encaja con nuestra teoría de guardarla en el maletero. No tenemos ni idea de qué arma se trata, así que ¿podrías usar tu talento para averiguar la longitud y la altura de la pistola que aparece en la foto?
Por cierto, el agente dijo que algunas partes de la pistola se sienten ásperas - como papel de lija - tal vez una marca ha sido lijada en algún lugar a lo largo de la línea.
Lo primero que hice fue buscar en google por 19 AUSTRIA, todos los resultados sobre armas hablan sobre la marca Glock.
Buscando en la pagina oficial de Glock por el modelo 19, nos encontramos con las medidas:
Longitud: 187mm
Altura: 128mm
Me han enviado anónimamente por correo electrónico unas imágenes con una sirena sonando de fondo y una escena de caos y pánico, con gente que sale corriendo de espacios abiertos en busca de refugio. No sé muy bien qué pensar.
¿Podría echarle un vistazo y decirme el nombre del país en el que se filmó?
Sería de gran ayuda y un buen comienzo para hacerme una idea de lo que se trata.
Nota: Sólo tienes 5 intentos, así que estate atento.
Formato previsto de la bandera: nameOfCountry
En el video se pueden extraer varias imagenes que nos llevan a la bandera
Haciendo busqueda inversa de imagen sabemos que la primer imagen es de un edificio llamado Matcal y la segunda imagen es de Kirya Tower. Ambos edificios localizados en Israel.
Ya en la tercer imagen, la "trafic" lleva pegado una url que termina con .il que es el Dominio de nivel superior geografico para Israel
Hemos desenterrado un lápiz de memoria de una caja de seguridad en la costa este de EE.UU. después de seguir algunas pistas por allí, pero todas las marcas de tiempo de modificación/acceso/creación han sido borradas, lo que significa que no tenemos ni la menor idea de cuándo se utilizó por última vez.
Dicho lápiz de memoria contiene una serie de archivos incriminatorios que nos llevan a querer hablar con la persona a la que pertenece el lápiz de memoria.
Entre los archivos de la unidad, hemos encontrado una grabación de un avión Boeing 737-800 despegando de algún aeropuerto.
¿Puedes encontrar la última fecha posible en la que se grabó el vídeo? Esto nos ayudará a hacernos una idea aproximada de la antigüedad del resto del contenido del lápiz de memoria incautado. Ten en cuenta que los metadatos del propio archivo de vídeo no servirán de nada en este caso.
Los intentos están limitados a 5, ¡así que abstente de adivinar por completo!
Formato de bandera esperado: DD/MM/AAAA
En el video se ve un Avion de American Airlines despegando y otro de LASER (Aerolinea Venezolana) en la pista, tambien se puede identificar la bandera de Venezuela. Por ende podemos decir que estamos en un aeropuerto de Venezuela.
Como la pregunta de dice cuando fue la ultima fecha POSIBLE, supuse que algo habia pasado y asi encontre la flag.
Seguimos detectando un dispositivo desconocido en nuestra red de la oficina y los registros muestran que se está conectando a través de uno de nuestros puntos de acceso WiFi. Nos gustaría saber un poco más sobre lo que está pasando aquí.
La dirección MAC es: 00:0a:95:10:e2:1b.
¿Podría decirnos el fabricante del dispositivo que estamos buscando?
Nota: Sólo dispone de 3 intentos, ¡así que absténgase de adivinar!
Formato de indicador esperado: nameOfManufacturer
Como sabemos las direcciones MAC estan conformadas por 12 digitos hexadecimales y los primeros 6 digitos son los que identifican al fabricante, llamado OUI (Identificador Único Organizacional).
Apple
Hemos enviado un par de agentes a la seguridad del aeropuerto de Birmingham (BHX) para ayudar a cubrir una falta temporal de personal y, mientras estaban allí, han identificado a un varón que está dando fuertes lecturas de presencia de cocaína. Viene de Lima vía Estambul.
Parece que hay una sustancia en polvo blanco sinónimo de esta droga que se escapa del teléfono en cantidades mínimas, pero los intentos de abrir el teléfono han fracasado. Parece que se ha utilizado algún tipo de adhesivo muy fuerte para unir el chasis. Hemos pesado el dispositivo y ahora mismo pesa 300 gramos. No hay señales de vida y el dispositivo no responde cuando se enchufa un cargador compatible. Sospechamos que el dispositivo puede haber sido destripado y rellenado con cocaína.
¿Hay alguna forma de averiguar la diferencia entre el peso actual y el peso original (esperado) del dispositivo? Una diferencia sustancial nos ayudaría a confirmar nuestra corazonada de que el dispositivo está siendo utilizado para ocultar una sustancia controlada y lo perforaríamos con confianza.
De todas formas, aquí tienes una nota con los detalles...
Al tener el IMEI (International Mobile Station Equipment Identity) que es el identificador unico del celular a nivel mundial, podemos buscar informacion sobre este. Yo usé Imei Info
Con esto sabemos que el celular es un J210F GALAXY J2 (2016) el cual el peso es 138g y como la pregunta nos pide por la diferencia, hacemos 300 - 138 lo cual es 162g.
162g.
¿Sabía que unos 30.000 sitios web son pirateados a diario?
Recientemente hemos creado, junto con nuestros homólogos norteamericanos, una unidad diseñada para vigilar activamente las posibles superficies de ataque de los grandes patrimonios y otras personas de alto perfil; pensemos en los empleados de nivel C de las empresas, los que ocupan puestos de poder en los gobiernos, etcétera.
Interesante para ti... Estoy tratando de averiguar si la dirección de correo electrónico de Elon Musk se ha incluido alguna vez en estas enormes filtraciones de datos que suelen producirse cuando las bases de datos/fuentes de las organizaciones quedan expuestas al público o son atacadas por hackers de sombrero negro.
El resultado típico de todo esto es que una gran cantidad de información personal, como nombres, nombres de usuario, direcciones de correo electrónico, contraseñas, direcciones físicas, información de tarjetas de crédito, etc., se vuelca en la red oscura, donde se utiliza para todo tipo de fines nefastos.
¿Puedes averiguar el nombre de la empresa en cuya filtración de datos apareció el correo electrónico de Elon? Aquí tienes su extravagante tarjeta de visita.
Para este caso, podemos usar herramientas que te ayudan a saber si tus datos estan en alguna brecha de datos. Have i been pwned? es una que si le proporcionas tu email o numero de telefono te puede decir cuando fue, que datos y en que empresa sucedio esto.
Adobe
Soy yo otra vez. Hemos estado raspando el contenido de algunos cubos abiertos de almacenamiento en la nube pertenecientes a algunos sitios web de comercio electrónico de la red oscura conocidos por vender drogas, armas, credenciales robadas y demás.
He detectado algunos documentos que utilizan este tipo de letra peculiar, aparentemente hablando de la entrega de mercancías (adjunto aquí).
Mi idea es que sería más fácil filtrar los millones de documentos que nos hemos incautado si supiéramos el nombre de la fuente utilizada en el documento ejemplar, ya que entonces podríamos utilizar técnicas de visión por ordenador para hacer coincidir el conjunto completo de caracteres de dicha fuente con cualquiera de los otros documentos en las masas de datos que utilizan la misma, encontrando potencialmente otros mensajes asociados y detalles que de otro modo nunca tendríamos tiempo de desenterrar.
¿Me lo dices?
Nota: Sólo tienes 5 intentos para este caso, así que asegúrate de que estás seguro de la fuente.
Formato de bandera esperado: XXXXXXXXX
Para este reto podemos usar un identificador de tipografia y subir la imagen ahi. Yo use Font Squirrel
Tenemos 3 posibles tipografias y cuando probamos la primera fue suficiente.
Plexifont
La semana pasada nos incautamos de un ordenador perteneciente a una persona que creemos que está implicada en la logística de una organización delictiva. Al inspeccionar el contenido del disco duro de la máquina, hemos encontrado algunos códigos guardados en archivos TXT; la persona en cuestión parece ser una especie de jugador con preferencia por los títulos antiguos.
Adjuntamos una muestra de uno de los archivos de código que hemos encontrado. Sabemos de casos en los que personas similares se ponen en contacto entre sí utilizando Call of Duty, ya que los servidores no están controlados. Si te sirve de ayuda, todos y cada uno de sus juegos de ordenador parecen estar clasificados como PEGI 18+.
Parece que este código es una especie de tutorial, posiblemente estaban intentando aprender el lenguaje...
¿Podrías averiguar el nombre del videojuego con el que se utiliza el lenguaje de scripting que se muestra en el archivo de texto adjunto? Esto nos ayudaría a averiguar con quién más han estado hablando, comprobando la presencia del juego en otras máquinas incautadas.
NOTA: Recuerde que es un juego multijugador.
Nota: Sólo tienes 10 intentos, ¡así que no adivines!
Formato de bandera esperado: nameOfGame
Con solo buscar el primer comentario y variable que declaran, nos aparecen dos resultados llamativos.
El primer resultado habla de Pawn, que es un lenguaje de programacion de videojuegos.
El segundo resultado es de Open Multiplayer donde te explican a programar scripts para }
Grand Theft Auto: San Andreas Multiplayer
Como parte de nuestro trabajo de contrainteligencia, hemos estado vigilando las comunicaciones por Internet de una serie de países de todo el mundo.
Recientemente hemos detectado tráfico sospechoso en uno de nuestros servidores "honeypot" (creados a propósito para atraer ataques).
Tenemos información que sugiere que algunos países están utilizando bots y otros métodos automatizados para escanear recursos en Internet con el fin de recuperar archivos que se han dejado abiertos al mundo en servidores web. Éste es sólo uno de los enfoques que, en nuestra opinión, forma parte de un conjunto más amplio de capacidades cibernéticas ofensivas.
Parece que alguien ha estado buscando algo bastante específico en este caso.
He adjuntado un archivo de texto que representa una sección de los datos de registro de este servidor honeypot, me pregunto si podría decirnos qué país es responsable del tráfico y qué país es el objetivo probable.
Los intentos están limitados a 7, ¡así que absténganse de hacer conjeturas!
Formato de bandera esperado: sourceCountry(Space)targetCountry
Empezamos por lo mas facil y obvio que es extraer la IP y buscala en un Geolocalizador, despues de eso, sabemos que el atacante es de Corea del Norte
Despues tenemos que saber cual es el Objetivo de ellos, para ello tomamos la url de la peticion y la pegamos en CyberChef, pero este no lo puede resolver. Aunque gracias a esto ya sabemos que son Caracteres Unicode
Buscamos un Unicode Decoder, y nos da el siguiente resultado Владимир Путин, lo cual significa Vladimir Putin (actual Presidente de Rusia)
NorthKorea Russia
Hemos encontrado una memoria USB muy antigua en una cartera de alguien que sabemos que se dedica a clonar y falsificar pasaportes y venderlos para obtener pingües beneficios.
Yo mismo le he echado un vistazo, pero no veo nada específicamente incriminatorio, aunque hay un par de fotos de las portadas de pasaportes extranjeros almacenadas, pero esto no nos dice mucho más de lo que ya sabemos.
Los forenses han hecho una "imagen" de la unidad, pero aún no han podido examinarla porque están ocupados con casos de mayor prioridad. Te la he adjuntado.
¿Puedes decirme el nombre completo del pasaporte de cualquiera que encuentres en la imagen del disco? Necesitaremos saberlo para poder alertarles de que comprueben su historial crediticio en busca de algo sospechoso y realicen algunas comprobaciones sobre la actividad de uso relacionada con el pasaporte para ver si ya ha sido clonado antes y se ha utilizado de forma nefasta.
Nota: Tienes 10 intentos para esto, ¡evita adivinar al azar!
Formato de bandera esperado: fullNameOfPassportHolder
