【6月10日 22:24】开通回帖测试专用帖 https://bbs.antiy.cn/thread-96610-1-1.html
【6月10日 23:00】威胁分析线索提交专用帖:https://bbs.antiy.cn/thread-96612-1-1.html
【6月10日 23:39】编程组成果提交专用帖:https://bbs.antiy.cn/thread-96613-1-1.html
【6月11日 00:00】比赛正式开始。
【6月11日 00:04】“比 Sqrrl 差一点队”团队得分。
【6月11日 00:05】比赛花絮收集帖 https://bbs.antiy.cn/thread-96614-1-1.html
【6月11日 00:07】“张江F4”团队得分。
【6月11日 00:15】“二人行”团队得分。
【6月11日 00:16】“WatchNekos”团队得分。
【6月11日 00:40】【线索提示1】安天CERT的分析工程师在受害主机发现一个可疑的启动项,涉及penguin公司发布的一款网络音乐服务产品。
【6月11日 00:41】“美味风蛇”团队得分。
【6月11日 00:43】“猫砂盆”团队得分。
【6月11日 00:49】“冠军团队”得分。
【6月11日 00:49】“又错又队”团队得分。
【6月11日 01:25】【线索提示2】安天CERT的分析工程师在受害主机发现一个可疑的服务描述,涉及某知名PDF阅读器厂商。
【6月11日 01:29】 “全错全队”团队得分。
【6月11日 01:58】“梅花K”团队得分。
【6月11日 02:25】【线索提示3】醉里挑灯看剑分析样本的老高,因为右手小拇指的无规律震颤,意外地找到系统的后门。
【6月11日 06:25】【线索提示4】安天CERT的分析工程师在受害主机的浏览器历史记录里,发现了一些新线索。
【6月11日 07:31】“极限挑战NO.8”团队得分。
【6月11日 08:08】第一个比赛花絮照片来自“啊对对”团队,但未采用队长ID提交,无效。
【6月11日 10:13】“熬夜不掉头发”团队提交的花絮照片,是包含本地硬盘路径的文件链接,让人充满期待,又哭笑不得。
【6月11日 10:15】【线索提示5】在分析受害主机的IP地址与主机名的映射关系时,安天CERT找到了新线索。
【6月11日 11:50】线索提交统计:比 Sqrrl 差一点队(8),WatchNekos(8),张江F4(7),猫砂盆(7),美味风蛇(7),两人行(6),梅花K(6),冠军团队(5),又错又队(3),极限挑战No.8(1),全错全队(1)
【6月11日 11:55】【线索提示6】重磅!安天CERT的工程师在内存载荷的资源中,发现重要线索!!
【6月11日 11:59】在项目交付关键时期,处于隔离状态的“熬夜不掉头发队”的队长为我们上传一枚宝贵的花絮。
【6月11日 13:01】“啊对对”团队补充了花絮照片。
【6月11日 13:20】【分析指导1】通过分析内存dump文件,安天CERT找到了载荷A,判定出该载荷是哪种武器,随后确定了攻击者的IP。
【6月11日 13:40】【线索提示7】安天CERT的分析工程师发现受害主机上某浏览器的用户登录信息异常。
【6月11日 14:10】【分析指导2】通过分析内存dump文件,安天CERT很快确定了攻击者植入用户空间的载荷A的内存基址。
【6月11日 14:30】【线索提示8】在受害主机桌面上,某知名视频应用程序的lnk文件引起了安天CERT分析工程师的注意……
【6月11日 15:01】“心若在梦就在”团队提交花絮照片。
【6月11日 15:15】【分析指导3】通过分析内存dump文件,安天CERT找到了初始攻击成功后进一步投递的载荷文件(载荷B)的全路径,居然与输入法有关。
【6月11日 17:00】【分析指导4】通过分析磁盘镜像文件,安天CERT找到了载荷B,并分析出其触发文档释放的条件。
【6月11日 17:53】“冠军团队”提交了花絮照片。
【6月11日 18:30】【线索提示9】安天CERT在受害主机的对外RDP连接记录里,找到了一条似乎稍有破损的加密线索,仿佛曾在《白象的舞步》中遇到过。
【6月11日 20:28】“梅花K”团队提交了花絮照片。
【6月11日 21:04】“张江F4”团队提交了花絮照片。曾几何时,ATool已成为吃瓜群众的标配?
【6月11日 21:10】【分析指导5】通过分析载荷B,安天CERT得出了该木马在解密文档时使用的特殊算法。
【6月11日 21:56】 “勇敢牛牛队”提交了花絮照片。
【6月11日 22:35】【线索提示10】安天CERT在载荷B中发现带有“ATH”字样的解密密钥。
【6月11日 23:18】 “熬夜不掉头发”团队补充了花絮照片。
【6月11日 23:30】【分析指导6】经过近24小时分析,安天CERT终于在受害主机C盘程序目录下找到载荷C。不得不说,该伪装成某知名软件升级程序的DLL,其文件名不易分辨。
【6月12日 05:00】【线索提示11】在载荷C中,安天CERT发现了一段带有“ATH”字样的ShellCode解密秘钥。
【6月12日 05:30】【分析指导7】载荷C木马使用了一个互斥量,安天CERT的工程师顺手把它记录了下来。
【6月12日 05:45】线索提交统计(只统计提交数量,因个别团队未按要求格式提交,造成统计困难,暂标以“?”):WatchNekos(15),比 Sqrrl 差一点队(14),美味风蛇(12),猫砂盆(10),张江F4(9),梅花K(9),全错全队(9),冠军团队(7),两人行(?),又错又队(?),极限挑战No.8(?)
【6月12日 10:10】【分析指导8】载荷C有时会运行不成功,这是为什么?
【6月12日 10:25】【线索提示12】一筹莫展之际,安天CERT的工程师开始重新审视内存文件。他用UE搜索了“ATH:"关键字,经过漫长的等待,发现一条被遗漏的线索……
【6月12日 11:00】【分析指导9】安天CERT发现,载荷C木马对Shellcode的解密不是随意的,而是有前提条件的,这个条件究竟是什么呢?
【6月12日 11:40】【分析指导10】载荷C木马解密出来了一段Shellcode,它的MD5一定要记录下来。
【6月12日 12:00】【线索提示13】重磅!安天CERT在分析载荷B解密释放的文档(载荷D)时,找到其连接的C2,进而发现了该C2服务器的后台页面和密码。
【6月12日 13:27】 “WatchNekos”团队提交了花絮照片。
【6月12日 14:00】【分析指导11】载荷C木马解密出来的Shellcode,它连接的C2是什么?
【6月12日 14:31】 “九莲宝灯”团队提交了花絮照片。
【6月12日 15:17】 “勇敢牛牛队”补充了花絮照片。
【6月12日 15:34】 “张江F4”团队补充了花絮照片。
【6月12日 15:45】【分析指导12】分析载荷D木马,找到其C2入口显示信息,判断C2后台连接工具是什么。
【6月12日 16:03】 “张江F4”团队补充了花絮照片。
【6月12日 16:43】 “三个火枪手”团队提交了花絮照片。
【6月12日 17:00】【分析指导13】分析载荷D木马的C2服务器(禁止攻击该服务器),研判该起行动由哪个APT组织发起。
【6月12日 17:03】 “猫砂盆”团队提交了花絮照片。
【6月12日 17:06】“勇敢牛牛队”提交编程作品。
【6月12日 18:35】 “九莲宝灯”团队提交编程作品。
【6月12日 18:51】 “捕风F5”团队提交编程作品。
【6月12日 19:45】【线索提示14】安天CERT在分析过程中发现几处带有“ATH:”前缀的奇怪字符串(长度均为32字节),它们的后面隐藏了什么秘密?
【6月12日 20:00】【分析指导14】针对【分析指导13】的任务,提供用于支撑APT组织研判结果的理由(例如足以定性的IoC)。
【6月12日 20:14】“WatchNekos”团队提交分析报告。
【6月12日 20:15】 “IT突击队”提交编程作品。
【6月12日 20:59】 “CV组合”团队提交编程作品。
【6月12日 22:09】 “熬夜不掉头发”团队补充了花絮照片。
【6月12日 22:23】 “梅花K”团队补充了花絮照片。
【6月12日 23:06】 “心若在梦就在”团队提交编程作品。
【6月12日 23:10】 “熬夜不掉头发”团队提交编程作品。
【6月12日 23:12】 “比 Sqrrl 差一点队”补充了花絮照片。
【6月12日 23:15】 “三个火枪手”团队提交编程作品。
【6月12日 23:24】 “三个火枪手”团队补充了花絮视频。
【6月12日 23:31】“猫砂盆”团队提交分析报告。
【6月12日 23:46】“比 Sqrrl 差一点队”提交分析报告。
【6月12日 23:51】“两人行”团队提交分析报告。
【6月12日 23:51】“冠军团队”提交分析报告。
【6月12日 23:52】“张江F4”团队提交分析报告。
【6月12日 23:56】“梅花K”团队提交分析报告。
【6月12日 23:59】比赛正式结束。
【6月13日 00:00】 “啊对对”团队提交编程作品。
花絮视频.mp4
(7.9 MB, 下载次数: 189)
|