【2022年夏季极限挑战赛】专用帖
【6月10日 22:24】开通回帖测试专用帖 https://bbs.antiy.cn/thread-96610-1-1.html
【6月10日 23:00】威胁分析线索提交专用帖:https://bbs.antiy.cn/thread-96612-1-1.html
【6月10日 23:39】编程组成果提交专用帖:https://bbs.antiy.cn/thread-96613-1-1.html
【6月11日 00:00】比赛正式开始。
【6月11日 00:04】“比 Sqrrl 差一点队”团队得分。
【6月11日 00:05】比赛花絮收集帖 https://bbs.antiy.cn/thread-96614-1-1.html
【6月11日 00:07】“张江F4”团队得分。
【6月11日 00:15】“二人行”团队得分。
【6月11日 00:16】“WatchNekos”团队得分。
【6月11日 00:40】【线索提示1】安天CERT的分析工程师在受害主机发现一个可疑的启动项,涉及penguin公司发布的一款网络音乐服务产品。
【6月11日 00:41】“美味风蛇”团队得分。
【6月11日 00:43】“猫砂盆”团队得分。
【6月11日 00:49】“冠军团队”得分。
【6月11日 00:49】“又错又队”团队得分。
【6月11日 01:25】【线索提示2】安天CERT的分析工程师在受害主机发现一个可疑的服务描述,涉及某知名PDF阅读器厂商。
【6月11日 01:29】 “全错全队”团队得分。
【6月11日 01:58】“梅花K”团队得分。
【6月11日 02:25】【线索提示3】醉里挑灯看剑分析样本的老高,因为右手小拇指的无规律震颤,意外地找到系统的后门。
【6月11日 06:25】【线索提示4】安天CERT的分析工程师在受害主机的浏览器历史记录里,发现了一些新线索。
【6月11日 07:31】“极限挑战NO.8”团队得分。
【6月11日 08:08】第一个比赛花絮照片来自“啊对对”团队,但未采用队长ID提交,无效。
【6月11日 10:13】“熬夜不掉头发”团队提交的花絮照片,是包含本地硬盘路径的文件链接,让人充满期待,又哭笑不得。
【6月11日 10:15】【线索提示5】在分析受害主机的IP地址与主机名的映射关系时,安天CERT找到了新线索。
【6月11日 11:50】线索提交统计:比 Sqrrl 差一点队(8),WatchNekos(8),张江F4(7),猫砂盆(7),美味风蛇(7),两人行(6),梅花K(6),冠军团队(5),又错又队(3),极限挑战No.8(1),全错全队(1)
【6月11日 11:55】【线索提示6】重磅!安天CERT的工程师在内存载荷的资源中,发现重要线索!!
【6月11日 11:59】在项目交付关键时期,处于隔离状态的“熬夜不掉头发队”的队长为我们上传一枚宝贵的花絮。
【6月11日 13:01】“啊对对”团队补充了花絮照片。
【6月11日 13:20】【分析指导1】通过分析内存dump文件,安天CERT找到了载荷A,判定出该载荷是哪种武器,随后确定了攻击者的IP。
【6月11日 13:40】【线索提示7】安天CERT的分析工程师发现受害主机上某浏览器的用户登录信息异常。
【6月11日 14:10】【分析指导2】通过分析内存dump文件,安天CERT很快确定了攻击者植入用户空间的载荷A的内存基址。
【6月11日 14:30】【线索提示8】在受害主机桌面上,某知名视频应用程序的lnk文件引起了安天CERT分析工程师的注意……
【6月11日 15:01】“心若在梦就在”团队提交花絮照片。
【6月11日 15:15】【分析指导3】通过分析内存dump文件,安天CERT找到了初始攻击成功后进一步投递的载荷文件(载荷B)的全路径,居然与输入法有关。
【6月11日 17:00】【分析指导4】通过分析磁盘镜像文件,安天CERT找到了载荷B,并分析出其触发文档释放的条件。
【6月11日 17:53】“冠军团队”提交了花絮照片。
【6月11日 18:30】【线索提示9】安天CERT在受害主机的对外RDP连接记录里,找到了一条似乎稍有破损的加密线索,仿佛曾在《白象的舞步》中遇到过。
【6月11日 20:28】“梅花K”团队提交了花絮照片。
【6月11日 21:04】“张江F4”团队提交了花絮照片。曾几何时,ATool已成为吃瓜群众的标配?
【6月11日 21:10】【分析指导5】通过分析载荷B,安天CERT得出了该木马在解密文档时使用的特殊算法。
【6月11日 21:56】 “勇敢牛牛队”提交了花絮照片。
【6月11日 22:35】【线索提示10】安天CERT在载荷B中发现带有“ATH”字样的解密密钥。
【6月11日 23:18】 “熬夜不掉头发”团队补充了花絮照片。
【6月11日 23:30】【分析指导6】经过近24小时分析,安天CERT终于在受害主机C盘程序目录下找到载荷C。不得不说,该伪装成某知名软件升级程序的DLL,其文件名不易分辨。
【6月12日 05:00】【线索提示11】在载荷C中,安天CERT发现了一段带有“ATH”字样的ShellCode解密秘钥。
【6月12日 05:30】【分析指导7】载荷C木马使用了一个互斥量,安天CERT的工程师顺手把它记录了下来。
【6月12日 05:45】线索提交统计(只统计提交数量,因个别团队未按要求格式提交,造成统计困难,暂标以“?”):WatchNekos(15),比 Sqrrl 差一点队(14),美味风蛇(12),猫砂盆(10),张江F4(9),梅花K(9),全错全队(9),冠军团队(7),两人行(?),又错又队(?),极限挑战No.8(?)
【6月12日 10:10】【分析指导8】载荷C有时会运行不成功,这是为什么?
【6月12日 10:25】【线索提示12】一筹莫展之际,安天CERT的工程师开始重新审视内存文件。他用UE搜索了“ATH:"关键字,经过漫长的等待,发现一条被遗漏的线索……
【6月12日 11:00】【分析指导9】安天CERT发现,载荷C木马对Shellcode的解密不是随意的,而是有前提条件的,这个条件究竟是什么呢?
【6月12日 11:40】【分析指导10】载荷C木马解密出来了一段Shellcode,它的MD5一定要记录下来。
【6月12日 12:00】【线索提示13】重磅!安天CERT在分析载荷B解密释放的文档(载荷D)时,找到其连接的C2,进而发现了该C2服务器的后台页面和密码。
【6月12日 13:27】 “WatchNekos”团队提交了花絮照片。
【6月12日 14:00】【分析指导11】载荷C木马解密出来的Shellcode,它连接的C2是什么?
【6月12日 14:31】 “九莲宝灯”团队提交了花絮照片。
【6月12日 15:17】 “勇敢牛牛队”补充了花絮照片。
【6月12日 15:34】 “张江F4”团队补充了花絮照片。
【6月12日 15:45】【分析指导12】分析载荷D木马,找到其C2入口显示信息,判断C2后台连接工具是什么。
【6月12日 16:03】 “张江F4”团队补充了花絮照片。
【6月12日 16:43】 “三个火枪手”团队提交了花絮照片。
【6月12日 17:00】【分析指导13】分析载荷D木马的C2服务器(禁止攻击该服务器),研判该起行动由哪个APT组织发起。
【6月12日 17:03】 “猫砂盆”团队提交了花絮照片。
【6月12日 17:06】“勇敢牛牛队”提交编程作品。
【6月12日 18:35】 “九莲宝灯”团队提交编程作品。
【6月12日 18:51】 “捕风F5”团队提交编程作品。
【6月12日 19:45】【线索提示14】安天CERT在分析过程中发现几处带有“ATH:”前缀的奇怪字符串(长度均为32字节),它们的后面隐藏了什么秘密?
【6月12日 20:00】【分析指导14】针对【分析指导13】的任务,提供用于支撑APT组织研判结果的理由(例如足以定性的IoC)。
【6月12日 20:14】“WatchNekos”团队提交分析报告。
【6月12日 20:15】 “IT突击队”提交编程作品。
【6月12日 20:59】 “CV组合”团队提交编程作品。
【6月12日 22:09】 “熬夜不掉头发”团队补充了花絮照片。
【6月12日 22:23】 “梅花K”团队补充了花絮照片。
【6月12日 23:06】 “心若在梦就在”团队提交编程作品。
【6月12日 23:10】 “熬夜不掉头发”团队提交编程作品。
【6月12日 23:12】 “比 Sqrrl 差一点队”补充了花絮照片。
【6月12日 23:15】 “三个火枪手”团队提交编程作品。
【6月12日 23:24】 “三个火枪手”团队补充了花絮视频。
【6月12日 23:31】“猫砂盆”团队提交分析报告。
【6月12日 23:46】“比 Sqrrl 差一点队”提交分析报告。
【6月12日 23:51】“两人行”团队提交分析报告。
【6月12日 23:51】“冠军团队”提交分析报告。
【6月12日 23:52】“张江F4”团队提交分析报告。
【6月12日 23:56】“梅花K”团队提交分析报告。
【6月12日 23:59】比赛正式结束。
【6月13日 00:00】 “啊对对”团队提交编程作品。
【编程挑战赛】
背景:“第一时间启动,同时应对多线威胁,三体系联动,四作业面效果达成”,这是安天的应急响应导向。在协助客户紧急响应威胁事件,以及协同修订威胁分析报告的过程中,如果有一个支持多人同时在线编辑的B/S架构协作系统(以下简称“系统”),将使安天CERT和安服团队在威胁对抗中如虎添翼,更好地达成客户有效安全价值。
功能指标:
1、系统支持可定制字段的数据库维护;
2、系统支持可定制页面布局的多人协作编辑界面;
3、系统支持对不同字段的只读、可写权限控制;
4、系统支持多人对不同字段的同时在线编辑;
5、系统支持对录入数据的历史版本留存和查看;
6、系统具备对指定字段的简单计算、统计功能;
7、系统需预留插件扩展能力;
7、系统提供RESTful API接口。
性能指标:
1、系统支持200个以上用户规模;
2、系统支持5个以上用户组(如不同部门)定义;
3、系统支持20个以上用户同时在线编辑;
4、系统在多人在线编辑时响应时间不超过0.5秒;
5、系统支持7x24小时连续稳定运行。
其它要求:
1、系统可基于开源系统实现上述功能;
2、系统全部代码需托管于我司git服务器;
3、系统采用Dockerfile交付。
评分标准:对于功能指标、性能指标基本满足的参赛作品,评委组将根据实际演示效果,综合考虑系统的易用性、安全性、美观性等因素给予评分。
【威胁分析比赛】
背景:安天CERT监测到某APT攻击组织的最新攻击行动,获取了受害主机的内存和系统镜像。
要求:参赛团队针对已获得到的内存和系统镜像(https://pan.baidu.com/s/11PTuGGFw1c5evso74jsm8w?pwd=6rq5 或 https://ath.cowtransfer.com/s/1f5b6f011afd4a,校验MD5:56720b4f08223c58497b8a3dc619afe4),开展取证分析、威胁排查、样本分析、归因溯源等工作,尝试还原攻击组织的渗透、持久化、远程控制、横向移动等完整过程。
题型:题目分为线索排查和分析报告两部分。其中,对于线索排查题,需参赛团队在系统镜像中排查威胁、发现线索字符串(具有"ATH"前缀的不定长字符串,形如"ATH:BACE9B8CBD4CA79B9E21284D82236CE1"),正确提交线索字符串即得到对应分数;对于分析报告,应尽量还原攻击链路,并描述关键动作、意图等(根据比赛进展,主办方会给出提示),评委会根据报告质量给出分数。
解压密码:bd94a551d0fd2bd5be0a780921cb52c5e2f6fb97753352de56852742c015e6c5 【2022极限挑战赛-高级威胁分析】-最新排名-2022年6月11日 14:11(截止到75楼回帖)
排名队名分数线索数量备注
1WatchNekos2810前三名提交加分7
2张江F4208前三名提交加分5
3比Sqrrl差一点队208前三名提交加分5
4猫砂盆197前三名提交加分3
5美味风蛇178前三名提交加分2
6两人行167前三名提交加分3
7梅花K116前三名提交加分1
8冠军团队85前三名提交加分0
9又错又队63前三名提交加分1
10极限挑战NO.822前三名提交加分0
11全错全队11前三名提交加分0
【2022极限挑战赛-高级威胁分析】-最新排名-2022年6月11日 19:30(截止到100楼回帖)
排名队名分数线索数量备注
1WatchNekos4012前三名提交加分9
2比Sqrrl差一点队3010前三名提交加分7
3美味风蛇2510前三名提交加分4
4猫砂盆218前三名提交加分3
5张江F4208前三名提交加分5
6两人行188前三名提交加分3
7又错又队137前三名提交加分1
8梅花K116前三名提交加分1
9冠军团队106前三名提交加分0
10极限挑战NO.843前三名提交加分0
11全错全队11前三名提交加分0
【2022极限挑战赛-高级威胁分析】-最新排名-2022年6月12日 9:30(截止到130楼回帖)
排名队名分数正确线索数量备注
1WatchNekos4513前三名提交加分10
2比Sqrrl差一点队3912前三名提交加分9
3猫砂盆3010前三名提交加分5
4美味风蛇2510前三名提交加分4
5两人行209前三名提交加分3
6张江F4208前三名提交加分5
7梅花K198前三名提交加分2
8又错又队137前三名提交加分1
9冠军团队127前三名提交加分0
10全错全队127前三名提交加分0
11极限挑战NO.864前三名提交加分0
【2022极限挑战赛-高级威胁分析】-最新排名-2022年6月12日 12:10(截止到137楼回帖)
排名队名分数正确线索数量备注
1WatchNekos5715前三名提交加分12
2比Sqrrl差一点队5114前三名提交加分11
3猫砂盆3010前三名提交加分4
4美味风蛇2510前三名提交加分4
5两人行209前三名提交加分3
6张江F4208前三名提交加分5
7梅花K198前三名提交加分2
8冠军团队148前三名提交加分0
9又错又队137前三名提交加分1
10全错全队127前三名提交加分0
11极限挑战NO.864前三名提交加分0
【2022极限挑战赛-高级威胁分析】-最新排名-2022年6月12日 14:40(截止到144楼回帖)
排名队名分数正确线索数量备注
1WatchNekos5715前三名提交加分12
2比Sqrrl差一点队5114前三名提交加分11
3猫砂盆3211前三名提交加分4
4张江F42810前三名提交加分5
5美味风蛇2510前三名提交加分4
6两人行209前三名提交加分3
7梅花K198前三名提交加分2
8又错又队158前三名提交加分1
9冠军团队148前三名提交加分0
10全错全队127前三名提交加分0
11极限挑战NO.864前三名提交加分0
【2022极限挑战赛-高级威胁分析】-最新排名-2022年6月12日 18:10(截止到157楼回帖)
排名队名分数正确线索数量备注
1WatchNekos5715前三名提交加分12
2比Sqrrl差一点队5114前三名提交加分11
3张江F43311前三名提交加分5
4猫砂盆3211前三名提交加分4
5两人行2811前三名提交加分3
6美味风蛇2510前三名提交加分4
7梅花K198前三名提交加分2
8又错又队158前三名提交加分1
9冠军团队148前三名提交加分0
10全错全队148前三名提交加分0
11极限挑战NO.864前三名提交加分0
【2022极限挑战赛-高级威胁分析】-最新排名-2022年6月12日 20:00(截止到171楼回帖)
排名队名分数正确线索数量备注
1WatchNekos5715前三名提交加分12
2比Sqrrl差一点队5114前三名提交加分11
3猫砂盆4614前三名提交加分6
4张江F44514前三名提交加分5
5两人行2811前三名提交加分3
6美味风蛇2510前三名提交加分4
7梅花K219前三名提交加分2
8又错又队158前三名提交加分1
9冠军团队148前三名提交加分0
10全错全队148前三名提交加分0
11极限挑战NO.864前三名提交加分0
【2022极限挑战赛-高级威胁分析】-最新排名-2022年6月12日 21:00(截止到180楼回帖)
排名队名分数正确线索数量备注
1WatchNekos5715前三名提交加分12
2比Sqrrl差一点队5114前三名提交加分11
3猫砂盆4614前三名提交加分6
4张江F44514前三名提交加分5
5两人行3813前三名提交加分3
6美味风蛇2510前三名提交加分4
7梅花K2210前三名提交加分1
8冠军团队2110前三名提交加分0
9又错又队188前三名提交加分1
10全错全队178前三名提交加分0
11极限挑战NO.864前三名提交加分0
【2022极限挑战赛-高级威胁分析】-最新排名-2022年6月13日 00:00(截止到184楼回帖)
排名队名分数正确线索数量备注
1WatchNekos5715前三名提交加分12
2比Sqrrl差一点队5114前三名提交加分11
3猫砂盆4614前三名提交加分6
4张江F44514前三名提交加分5
5两人行3813前三名提交加分3
6梅花K2711前三名提交加分1
7美味风蛇2510前三名提交加分4
8冠军团队2110前三名提交加分0
9又错又队188前三名提交加分1
10全错全队178前三名提交加分0
11极限挑战NO.864前三名提交加分0
页:
[1]