umair-aziz025/arctic-howl-offsec-season2

## 📖 关于 Arctic Howl Arctic Howl 是一场高风险的网络防御模拟，以冰封的网络安全战场为背景，设有逐步升级的每周场景。贯穿整个严酷考验季度，挑战者将面对不断进化的对手，揭开一位失踪守护者背后的真相，识破一名精于算计的敌人，并探究一项试图重塑本能本身的冰冷实验——模糊猎人与机器之间的界限。 **唯有适应者方能生存。唯有坚持者方能揭示真相。唯有最强者方能抵达风暴中心。** ## 📂 挑战题解 ### ✅ [第 0 周 — 教程挑战](./WEEK%200%20-%20Tutorial%20Challenge) **状态：** 已完成  |  **类别：** 日志分析 · 编码 · Web 取证  |  **难度：** 初级  |  **得分：** 50/50 **场景：** 分析一台 Web 服务器，从 Base64 编码的文件中提取隐藏的 flag，随后调查 Apache 访问日志，识别利用路径遍历漏洞窃取 SSH 私钥的攻击者。 **核心技能：** - Base64 编码/解码 - Web 服务器日志分析 - 路径遍历漏洞检测 - 安全事件调查 **关键发现：** - ✅ 解码 Base64 flag：`TryHarder` - ✅ 识别攻击者 IP：`192.168.1.101` - ✅ 攻击向量：通过 `/public/plugins/welcome/../../../../../../../../home/dave/.ssh/id_rsa` 进行路径遍历 - ✅ 窃取数据：SSH 私钥 (`id_rsa`) — 1,678 字节，HTTP 200 OK **文件：** - [调查报告](./WEEK%200%20-%20Tutorial%20Challenge/INVESTIGATION_REPORT.md) - [挑战 README](./WEEK%200%20-%20Tutorial%20Challenge/README.md) ### ✅ [第 1 周 — 初次踪迹](./WEEK%201%20-%20First%20Tracks) **状态：** 已完成  |  **类别：** 恶意软件分析 · PCAP 取证 · 事件响应 (IR)  |  **难度：** 简单  |  **得分：** 40/40 **场景：** 在 Cascade Law Archive，一名新开发者克隆了一个 Xcode 初始项目后，出站流量出现异常峰值。PCAP 分析揭示了一场复杂的 Mac 恶意软件活动：被木马化的 Xcode 项目 → 三重十六进制投放器 → 多阶段 C2 载荷 → Apple Notes/Reminders 数据窃取 → Git 钩子传播。 **核心技能：** - PCAP 分析 (Wireshark / tshark) - 多层编码逆向 (三重 hex + 7× Base64) - AppleScript 恶意软件分析 - Git 钩子注入与供应链攻击调查 - YARA / Sigma / Snort 检测规则编写 **关键发现：** - ✅ 初始投放器：`xcassets.sh`，采用三重 hex 编码 - ✅ C2 域名：`bu1knames.io` (投递了 7 个载荷模块) - ✅ User-Agent 转变：Safari → `curl/8.7.1` (失陷指标) - ✅ 窃取数据：Apple Notes + Reminders + 硬件序列号 - ✅ 传播方式：`jez` 向所有本地 Git 仓库注入恶意 `pre-commit` 钩子 - ✅ 6 道挑战问题全部回答正确 **发现的新技术：** - 三重十六进制编码以规避静态分析 - AppleScript 载荷中 7 层嵌套的 Base64 - 针对开发者传播的 Git pre-commit 钩子蠕虫 - 在完整载荷部署前通过 `looz` 进行系统画像 **文件：** - [调查报告](./WEEK%201%20-%20First%20Tracks/INVESTIGATION_REPORT.md) - [挑战 README](./WEEK%201%20-%20First%20Tracks/README.md) ### ✅ [第 2 周 — 广域勘测者](./WEEK%202%20-%20Expanse%20Surveyor) **状态：** 已完成  |  **类别：** Android 恶意软件分析 · HAR 取证 · APK 逆向工程  |  **难度：** 中等  |  **得分：** 70/70 **场景：** 一名广域勘测者在其 Android 设备上安装了 Research Gallery 应用 以整理探险发现。48 小时内，异常出站连接浮现。对被木马化的 APK 和 HAR 网络捕获的分析揭示了一场复杂的 Android 恶意软件活动：GitHub Gist C2 解析 → 15x Base64 + XOR 解密 → 动态 DEX 载荷加载 → 文件侦察 → 照片/视频窃取 → 被动 GPS 追踪。 **核心技能：** - Android APK 反编译 (JADX) - HAR 文件流量分析 - Protobuf 二进制解码 - 多层 Base64 + XOR 解密 - DEX 载荷提取与内存执行分析 - Android 权限模型与 PASSIVE_PROVIDER GPS 策略 **关键发现：** - ✅ C2 解析：GitHub Gist → 15x Base64 → XOR "blastoise" → `446d9f29543f.ngrok-free.app` - ✅ 通过 PayloadResponse protobuf + InMemoryDexClassLoader 进行动态载荷投递 - ✅ 3 个 DEX 模块：FileScanner (侦察)、MetaDataParser (文件窃取)、LocationTracker (GPS) - ✅ 窃取文件：JPEG 照片 (Sony XQ-BC62) + MP4 视频发送至 `/api/backup/chunk` - ✅ GPS 异常：12/15 个地理标签请求因缺少 ACCESS_BACKGROUND_LOCATION 而失败 - ✅ 成功窗口 (20:45:20-20:46:20Z) 与 YouTube 通过 PASSIVE_PROVIDER 激活 GPS 相关联 - ✅ 7 道挑战问题全部回答正确 **发现的新技术：** - 15 层 Base64 + XOR 加密用于 C2 地址混淆 - 通过 InMemoryDexClassLoader 实现内存中 DEX 执行 (无磁盘痕迹) - PASSIVE_PROVIDER GPS 搭载策略以规避后台位置权限 - 服务器驱动的载荷架构，由 C2 控制所有模块执行 **文件：** - [调查报告](./WEEK%202%20-%20Expanse%20Surveyor/INVESTIGATION_REPORT.md) - [挑战 README](./WEEK%202%20-%20Expanse%20Surveyor/README.md) ### 🔒 [第 3 周 — 寒冷访问](./WEEK%203%20-%20Cold%20Access) *(即将推出)* **状态：** 即将到来  |  **难度：** 困难 *对手加强了立足点。需要高级技术才能突破冰封防线。* ### 🔒 [第 4 周 — 信任危机](./WEEK%204%20-%20Trusted%20Trouble) *(即将推出)* **状态：** 已锁定  |  **难度：** 专家 *最终对决。揭开精于算计的对手背后的真相。* ## 📊 进度追踪 | 周次 | 挑战 | 状态 | 类别 | 难度 | 得分 | |------|-----------|--------|----------|------------|-------| | 0 | 教程挑战 | ✅ 已完成 | 日志分析 / 编码 | 初级 | 50/50 | | 1 | 初次踪迹 | ✅ 已完成 | 恶意软件分析 / PCAP / IR | 简单 | 40/40 | | 2 | 广域勘测者 | ✅ 已完成 | Android 恶意软件 / HAR / APK 逆向 | 中等 | 70/70 | | 3 | 寒冷访问 | 🔒 即将到来 | 待定 | 困难 | — | | 4 | 信任危机 | 🔒 已锁定 | 待定 | 专家 | — | ## 🎯 学习目标 通过这些挑战，我正在培养以下方面的专业技能： - **事件响应 (IR)：** 系统化调查方法论 - **数字取证：** 证据收集与分析 - **恶意软件分析：** 威胁检测与多阶段攻击活动重构 - **PCAP 分析：** 网络流量调查与 C2 识别 - **Mac 安全：** macOS 痕迹位置、AppleScript 滥用、Xcode 项目威胁 - **Android 安全：** APK 逆向工程、DEX 分析、Android 权限模型 - **日志分析：** Web 服务器日志解析与攻击模式检测 - **编码/解码：** Base64、十六进制编码方案、嵌套混淆、XOR 加密 - **Web 安全：** 路径遍历与目录遍历攻击 - **供应链安全：** Git 钩子注入、被木马化的项目/应用检测 - **协议分析：** Protobuf 二进制解码、HAR 流量取证 - **检测工程：** YARA 规则、Sigma 规则、Snort 规则 - **Python 自动化：** 安全工具与脚本编写 ## 🛠️ 工具与技术 - **网络分析：** Wireshark, tshark, Scapy - **脚本语言：** Python 3, Bash, PowerShell - **编码/解码：** base64, xxd, Python - **取证：** 日志分析、痕迹恢复、PCAP 分析、HAR 取证 - **Android 逆向：** JADX, DEX 分析, InMemoryDexClassLoader, Protobuf 解码 - **检测：** YARA 规则, Sigma 规则, Snort 规则, MITRE ATT&CK - **Web 安全：** OWASP 实践、访问日志分析 - **Mac 安全：** AppleScript 分析、macOS 痕迹调查 - **移动安全：** Android 权限分析、GPS 提供者利用 ## 🏆 成就 - ✅ 第 0 周：从访问日志中识别路径遍历攻击和 SSH 密钥窃取 - ✅ 第 1 周：从 PCAP 中完整重构多阶段 Mac 恶意软件活动 — 6/6 问题 - ✅ 第 2 周：逆向工程带有动态 DEX 载荷的被木马化 Android APK — 7/7 问题 - ✅ 发现新技术：三重 hex 编码、7× 嵌套 Base64、Git 钩子蠕虫 - ✅ 发现新技术：15× Base64 + XOR C2 混淆、PASSIVE_PROVIDER GPS 搭载 - ✅ 记录完整的 C2 基础设施并映射所有端点 - ✅ 为识别出的恶意软件创建全面的检测规则 ## 📝 仓库结构 ``` arctic-howl-offsec-season2/ ├── README.md # This file ├── assets/ # Challenge thumbnail images │ ├── arctic-howl-logo.png │ ├── tutorial.jpg │ ├── first-tracks.jpg │ ├── expanse-surveyor.jpg │ ├── cold-access.jpg │ └── default.jpg ├── WEEK 0 - Tutorial Challenge/ │ ├── README.md # Challenge overview │ └── INVESTIGATION_REPORT.md # Full forensic analysis ├── WEEK 1 - First Tracks/ │ ├── README.md # Challenge overview │ └── INVESTIGATION_REPORT.md # Full forensic analysis (6/6 questions) ├── WEEK 2 - Expanse Surveyor/ │ ├── README.md # Challenge overview │ └── INVESTIGATION_REPORT.md # Full forensic analysis (7/7 questions) ├── WEEK 3 - Cold Access/ # Upcoming challenge folder └── WEEK 4 - Trusted Trouble/ # Upcoming challenge folder ``` ## 🚀 快速开始 ``` # 克隆此仓库 git clone https://github.com/umair-aziz025/arctic-howl-offsec-season2.git cd arctic-howl-offsec-season2 # 导航到特定周 cd "WEEK 0 - Tutorial Challenge" # 或 cd "WEEK 1 - First Tracks" # 或 cd "WEEK 2 - Expanse Surveyor" # 阅读挑战 writeup # 查看 README.md 获取挑战概述 # 查阅 INVESTIGATION_REPORT.md 获取详细分析 ``` ## 📚 学习资源 - [OffSec 平台](https://www.offsec.com/) (Proving Grounds 和挑战练习的官方平台) - [OffSec Proving Grounds](https://www.offsec.com/labs/) (实战进攻性安全实验室) - [MITRE ATT&CK](https://attack.mitre.org/) (恶意软件和入侵行为的技术映射) - [OWASP Top 10](https://owasp.org/www-project-top-ten/) (第 0 周使用的 Web 风险基线) - [OWASP Web 安全测试指南 (WSTG)](https://owasp.org/www-project-web-security-testing-guide/) - [PortSwigger 路径遍历指南](https://portswigger.net/web-security/file-path-traversal) - [Wireshark 用户指南](https://www.wireshark.org/docs/wsug_html_chunked/) - [tshark 文档](https://www.wireshark.org/docs/man-pages/tshark.html) - [恶意软件流量分析](https://www.malware-traffic-analysis.net/) (PCAP 工作流和流量分析实践) - [Apple 开发者文档](https://developer.apple.com/documentation/) (第 1 周的 Mac/Xcode 背景) - [Git 钩子文档](https://git-scm.com/docs/githooks) (与 pre-commit 钩子滥用分析相关) - [Android 开发者：应用清单概览](https://developer.android.com/guide/topics/manifest/manifest-intro) - [Android 开发者：请求应用权限](https://developer.android.com/training/permissions/requesting) - [Android 开发者：位置权限](https://developer.android.com/develop/sensors-and-location/location/permissions) - [OWASP 移动应用安全测试指南 (MASTG)](https://mas.owasp.org/MASTG/) - [JADX GitHub 仓库](https://github.com/skylot/jadx) - [Protocol Buffers 开发者指南](https://protobuf.dev/programming-guides/proto3/) - [Chrome DevTools 网络参考](https://developer.chrome.com/docs/devtools/network/reference/) (HAR/网络检查) - [NIST 网络安全框架](https://www.nist.gov/cyberframework) - [CISA 网络安全建议](https://www.cisa.gov/news-events/cybersecurity-advisories) ## 🤝 系方式 **Umair Aziz** - GitHub: [@umair-aziz025](https://github.com/umair-aziz025) - 仓库: [arctic-howl-offsec-season2](https://github.com/umair-aziz025/arctic-howl-offsec-season2) - 第 1 季: [echo-response-offsec-challenge](https://github.com/umair-aziz025/echo-response-offsec-challenge) ## 📄 许可证 本仓库仅用于教育目的。挑战场景归 OffSec 所有。解题报告为本人原创作品。 ## ⭐ 标星本仓库 如果您觉得这些解决方案有帮助，请考虑给本仓库一个 Star！ *最后更新：2026 年 3 月 12 日*

标签：Apache日志, Arctic Wolf, Base64编码, BurpSuite集成, CTF Writeups, DNS 反向解析, HTTP工具, OffSec, Try Harder, Web安全, 应用安全, 攻击溯源, 数字取证, 漏洞分析, 网络安全, 网络安全审计, 自动化脚本, 蓝队分析, 路径探测, 路径遍历, 逆向工具, 隐私保护