Loihde osallistui vuoden 2026 Disobeyhin tekemällä jälleen CTF-haasteen (Capture the Flag) kilpailijoiden ratkottavaksi. Tämänvuotisen Loihteen haasteen, nimeltään "Beta Test", ratkaisi neljä joukkuetta. Forensiikkataitoja mittaavan haasteen tekninen läpimeno on kuvattu alla.

Walkthrough: Beta Test

CTF-haasteen alussa pelaajalle annetaan zip-tiedosto evidence_package.zip, joka on kokoelma forensista todistusaineistoa, jonka Virtual GINin IT-tiimi on kerännyt laitteelta havaittuaan joutuneensa kiristyshaittaohjelman uhriksi:

"VIRtual GIN Inc has been hit by a ransomware and they've tasked you to investigate the case. Attached is the comprehensive forensic evidence package, acquired by the VIRtual GIN Inc IT team to the best of their ability. We need you to investigate the evidence and see if you can recover the files they encrypted."

Pelaajan tehtävänä on auttaa Virtual GINiä hädässä ja toimia forensiikkatutkijana tavoitteenaan yrittää palauttaa hyökkääjän salaamia tiedostoja.

evidence_package.zip sisältää seuraavat artifaktit:

• Amcache.hve

• Prefetch-kansion

• Users\Public-kansion

• Osan käyttäjän kotikansion alikansioista Users\Virtgin\:

  • Desktop

  • Documents

  • ...

Käyttäjän työpöydältä ja Documents-kansiosta löytyy käyttäjän erilaisia tiedostoja, jotka ovat salattu ja niillä on .chad-tiedostopääte. Virtgin-käyttäjän työpöydällä ainoa selkokielinen tiedosto on hyökkääjän jättämä lunnasviesti README_NOW.txt. Viestissä hyökkääjäksi paljastunut CHAD Group kertoo varastaneensa Virtual GINin dataa ja salanneensa tiedostot. Rahan sijaan he haluavat todisteen, että uhri todistaa olevansa tarpeeksi alfa ja löytää CHADin salaisen verkkosivuston.

Lunnasviestin (Users\Virtgin\Desktop\README_NOW.txt) sisältö:

################################################################################
#                                                                              #
#                             --- CHAD GROUP ---                               #
#                            "WE LIFT, YOU LEAK"                               #
#                                                                              #
################################################################################

LISTEN UP, VIRtual GIN Inc: 

Your network security was a joke. We didn't even break a sweat.

We’ve encrypted your files and benched your servers. 
Your data is currently sitting in our private gym, and it’s never looked better. 
We aren't here for your money. We have plenty of "Gains" already. 
We’re here to see if there’s a single Alpha left in your entire IT department that actually has the mental max to find our negotiation portal.

We’ve already deleted our heavy-lifting tools from your puny drives. 
But real power leaves an imprint. 
Even when the weights are put away, the "Scent of the Lift" remains in your system's history.

If you’re too "Beta" to track where our boots hit the floor, you’re too weak to negotiate. 
We will release your data to every normie out there to laugh at if you can't take the bull by the horns and stop being a wimp. 
Find our negotiation portal and prove us you have at least a tiniest bit of alpha in you. 

You have until the end of our next set.

WE LIFT, YOU LEAK 
-CHAD

Amcache

Annetussa todistusaineistossa on kaksi artifaktia, jotka sisältävät tietoa laitteella suoritetuista ohjelmista: Prefetch -tiedostot ja Amcache. Ensiksi pelaajan täytyy tutkia Amcache.hve-artifaktia ja löytää sieltä todisteita poikkeavista ohjelmista, joita laitteella on ajettu.

Amcachea voi tutkia mm. Eric Zimmermanin Registry Explorer -työkalulla (https://ericzimmerman.github.io/#!index.md). Tarkastelemalla Amcachen aikaleimoiltaan tuoreimpia rivejä InventoryApplicationFile -rekisteriavaimesta pelaaja löytää potentiaalisen haittaohjelman, joka laitteella on suoritettu: c:\windows\temp\c\chadlock.exe.

Amcache-artifaktin yksi merkittävistä eduista on, että se tallentaa havaitsemiensa binäärien SHA1-tiivisteen. Poikkeavan chadlock.exen SHA1-tiiviste on 954d81f5e270fb38ec05362aeb8f0362777a383f.

OSINT ja CHAD-portaali

Hakemalla chadlock.exen SHA1-tiivisteellä VirusTotal-palvelusta pelaaja huomaa, että epäilty haittaohjelmabinääri on ladattu sivustolle: https://www.virustotal.com/gui/file/871b2cd3d9af3a17cf0c7b8d800fe7b72663ac7a49db7ef40a5b1e7a4789347c/details

Tiedoston VirusTotal-sivulla on julkinen kommentti käyttäjältä CHAD_Group, jossa he kehuskelevat varastaneensa Virtual GINin tietokannat ja uhkaavat julkaista varastamansa datan kaikkien nähtäville. Kommentti sisältää linkin CHADien verkkosivulle http://chadgroup.dissi.fi:8080 sekä tunnukset sisäänkirjautumiseen: beta:AllYourFilesAreBelongToCHAD.

Sivu vaatii autentikoitumaan käyttäjätunnuksella ja salasanalla.

Syötettyään oikeat tunnukset pelaajalle avautuu CHAD Groupin verkkosivut.

Sivustolla Virtual GIN Inc on listattu viimeisimpänä uhrina. Uhrille tarkoitetuissa ohjeissa CHADit haluavat todisteita alfa-tasoisista tutkintataidoista ja vaativat pelaajaa etsimään Chadlock-kiristyshaittaohjelman käyttämän salasanatiedoston (master key -tiedosto) tiedostonimen saadakseen salatut tiedostot takaisin. Tämä tiedostonimi pitää syöttää verkkosivun pohjalla olevaan CHAD Negotiator -neuvottelijan chat-ikkunaan.

Prefetch

Löytääkseen CHADien pyytämän master key -tiedoston nimen pelaajan täytyy tutkia todistusaineistopaketissa mukana tulleita Prefetch-tiedostoja. Windows luo Prefetch-tiedostoja ohjelman suorittamisen yhteydessä ja ne tallentavat tiedon tiedostoista, joita ohjelma on koskenut ensimmäisen n. 10 sekunnin aikana ohjelman käynnistyksestä. Poikkeavaksi tunnistetusta ohjelmasta chadlock.exe löytyy todistusaineistosta yksi Prefetch-tiedosto: CHADLOCK.EXE-1BDBE4D9.pf.

Prefetch-tiedoston voi parsia tutkittavaksi esim. Eric Zimmermanin PECmd.exe-työkalulla: PECmd.exe -f "<path-to-evidence>\Windows\Prefetch\CHADLOCK.EXE-1BDBE4D9.pf"

Rivi 18 ohjelman viittaamista tiedostoista (Files referenced) on tiedosto nimeltään CHALKED_UP_MASTER_KEY.TXT.

Kun syöttää tämän tiedostonimen CHAD-neuvottelijan chattiin, CHAD paljastaa pelaajalle palkinnoksi salausavaimen, jolla salatut .chad-tiedostot voi purkaa.

Salausavain on yksinkertaisesti kättelyemoji 🤝.

FLAG.txt-salauksen purkaminen

Annetussa todistusaineistossa yksi käyttäjän työpöydällä olevista salatuista tiedostoista on nimensä mukaisesti haasteen ratkaisu: Users\Virtgin\Desktop\FLAG.txt.chad.

Tarkastelemalla tämän tai minkä tahansa muun CHADien salaaman tiedoston sisältöä paljastuu, että tiedostot ovat salattu käyttäen age-encryption-salausalgoritmia.

$ cat FLAG.txt.chad
age-encryption.org/v1
-> scrypt YsTNvfNdmUmpK9VJjgtkzw 18
ftEUozH2Ul2C2ZsR3x51RhRJ+mdrDZqQ3Qk8p4w45mE
--- 3a/15e9FHyOTkeTVm6h8VtVHpMGFnU9fbmrGnDHJI3w
'��5��$\)#���P}\�
                 ��_��mJ�e�ղ��!����A�d���>��CK��^w�^%�t

Verkosta hakemalla "age encryption" pelaaja löytää nopeasti projektin GitHub-sivulle: https://github.com/FiloSottile/age

"age is a simple, modern and secure file encryption tool, format, and Go library"

GitHub-sivu tarjoaa nopeat ohjeet age-komentorivityökalun asentamiseen eri käyttöjärjestelmille.

Esimerkiksi asentaminen Ubuntulle:
apt install age

Asennuksen jälkeen ajetaan age-työkalu --decrypt-argumentilla salatulle tiedostolle. Kun työkalu pyytää salasanaa, syötetään sille yksittäinen kättelyemoji: 🤝

$ age --decrypt FLAG.txt.chad 
Enter passphrase: 
DISOBEY[B1G_BR41N5_BIG_GA1NZZ]

That´s all folks! Kiitokset ja onnittelut haasteen ratkaisseille pelaajille!

PS. Tutustu myös vuoden 2025 haasteeseemme täällä.