Track 2b — Blue · DFIR · 275 pts
EDR на workstation-04 не сработал, но в DNS-трафике явно что-то неладное: периодические запросы к одному и тому же домену второго уровня, с длинными нечитаемыми префиксами.
Перед вами лог DNS-запросов (отфильтрован — выводы DNS-резолверов опущены, оставлены только сами имена):
2024-09-11 03:14:22.181 windows-update.com
2024-09-11 03:14:23.001 api.github.com
2024-09-11 03:15:12.490 01KRSXG5DJNF6T2OMFZGS3TPN5SCAOLF.irtysh-cloud-svc.com
2024-09-11 03:15:13.044 cdn.jsdelivr.net
2024-09-11 03:15:42.811 02HE6T2OL52GS43QORZGS2DPNZSXIIDF.irtysh-cloud-svc.com
2024-09-11 03:16:11.222 fonts.googleapis.com
2024-09-11 03:16:21.918 03ORZWKLLQGEZAUDSNFXGW33DMNUWG2LO.irtysh-cloud-svc.com
2024-09-11 03:16:55.103 03ORZWKLLQGEZAUDSNFXGW33DMNUWG2LO.irtysh-cloud-svc.com
2024-09-11 03:17:43.512 04NFXGS3TJORUWG2LON5XHIIDPMVQXG2LO.irtysh-cloud-svc.com
2024-09-11 03:18:01.661 api.cloudflare.com
2024-09-11 03:18:25.444 05MFZGY4DTMUQGE3LBNFXGW33SOJSWG2LO.irtysh-cloud-svc.com
2024-09-11 03:19:17.092 www.kyzylorda-tech.kz
2024-09-11 03:19:55.731 06MFXGW33ONFRGI4TFNZSXIIDPMVRWG2DF.irtysh-cloud-svc.com
2024-09-11 03:20:14.005 cdn.cloudflare.net
2024-09-11 03:21:08.220 07NFXG6Y3IMFZGS3TPN4QGS43QNFXGOIDP.irtysh-cloud-svc.com
2024-09-11 03:22:51.999 ssl.google-analytics.com
2024-09-11 03:23:11.802 08MV4GS2LSORQWY2LBNFRG6ZDPONZG6===.irtysh-cloud-svc.com
2024-09-11 03:24:44.121 www.kazpost.kzNN<base32_chunk>, где NN — двузначный counter (порядок реассемблирования).A–Z и цифры 2–7. После сборки префиксов в порядке counter — декодируйте base32.Введите восстановленную ASCII-строку в форму заглавными буквами без пробелов.
workstation-04-те EDR іске қосылмаған, бірақ DNS-трафикте біртүрлі нәрсе бар: бір екінші деңгейлі доменге ұзын оқылмайтын префикстермен мерзімді сұраныстар.
Алдыңызда DNS-сұраныс журналы (DNS-резолверлердің жауаптары алынбаған, тек атаулар қалдырылған):
2024-09-11 03:14:22.181 windows-update.com
2024-09-11 03:15:12.490 01KRSXG5DJNF6T2OMFZGS3TPN5SCAOLF.irtysh-cloud-svc.com
2024-09-11 03:15:42.811 02HE6T2OL52GS43QORZGS2DPNZSXIIDF.irtysh-cloud-svc.com
2024-09-11 03:16:21.918 03ORZWKLLQGEZAUDSNFXGW33DMNUWG2LO.irtysh-cloud-svc.com
2024-09-11 03:16:55.103 03ORZWKLLQGEZAUDSNFXGW33DMNUWG2LO.irtysh-cloud-svc.com
2024-09-11 03:17:43.512 04NFXGS3TJORUWG2LON5XHIIDPMVQXG2LO.irtysh-cloud-svc.com
2024-09-11 03:18:25.444 05MFZGY4DTMUQGE3LBNFXGW33SOJSWG2LO.irtysh-cloud-svc.com
2024-09-11 03:19:55.731 06MFXGW33ONFRGI4TFNZSXIIDPMVRWG2DF.irtysh-cloud-svc.com
2024-09-11 03:21:08.220 07NFXG6Y3IMFZGS3TPN4QGS43QNFXGOIDP.irtysh-cloud-svc.com
2024-09-11 03:23:11.802 08MV4GS2LSORQWY2LBNFRG6ZDPONZG6===.irtysh-cloud-svc.comNN<base32_chunk>, мұндағы NN — екі сандық counter (қайта жинау реті).A–Z және 2–7 сандарын қолданады. Префикстерді counter ретімен жинаған соң — base32-ден декодтаңыз.Қалпына келтірілген ASCII-жолды формаға бас әріптермен, бос орынсыз енгізіңіз.
RU: Введите ответ ниже. Сервер вернёт ваш персональный флаг.
KK: Жауапты төменде енгізіңіз. Сервер сізге жеке жалаушаны қайтарады.
RU: Каждая подсказка снимает баллы.
KK: Әр кеңес ұпайды кемітеді.