Challenge Description

Danish (original)

Jætterne har igen skabt problemer! Thor har opdaget, at nogen har stjålet et vigtigt flag fra hans system. Sporene peger på, at det er sket lidt efter lidt. Thor har sendt os en logfil, men vi har brug for din hjælp til at finde ud af, hvad der er blevet stjålet.

English (from chatgpt)

The giants have caused trouble again! Thor has discovered that someone has stolen an important flag from his system. The traces suggest that it happened gradually. Thor has sent us a log file, but we need your help to figure out what has been stolen.

File

We are also given the following file:

Solution

Looking at the events from the file using evtx_dump I saw some urls in the form of <char>.<chars>.hackerneivalhalla.dk, so I ran it though grep to get all the urls:

$ evtx_dump handout.evtx | \
> grep -Eo '.\..*\.hackerneivalhalla\.dk'
F.e3y8h.hackerneivalhalla.dk
D.5gukm.hackerneivalhalla.dk
C.ewke2.hackerneivalhalla.dk
A.deir0.hackerneivalhalla.dk
{.h9dmt.hackerneivalhalla.dk
V.2922g.hackerneivalhalla.dk
a.te1gj.hackerneivalhalla.dk
l.f3t74.hackerneivalhalla.dk
h.bc26p.hackerneivalhalla.dk
a.pec4y.hackerneivalhalla.dk
l.0xomq.hackerneivalhalla.dk
l.2u5oy.hackerneivalhalla.dk
a.v4e93.hackerneivalhalla.dk
_.4r878.hackerneivalhalla.dk
H.10uq9.hackerneivalhalla.dk
a.2v9q3.hackerneivalhalla.dk
c.1774f.hackerneivalhalla.dk
k.uluti.hackerneivalhalla.dk
e.d7eke.hackerneivalhalla.dk
r.ok5z6.hackerneivalhalla.dk
n.r3llb.hackerneivalhalla.dk
e.js8z7.hackerneivalhalla.dk
_.o6sd3.hackerneivalhalla.dk
E.2pl5r.hackerneivalhalla.dk
r.qit72.hackerneivalhalla.dk
_.60nac.hackerneivalhalla.dk
S.bow48.hackerneivalhalla.dk
n.xw4jc.hackerneivalhalla.dk
u.p4q9h.hackerneivalhalla.dk
}.jbcnd.hackerneivalhalla.dk

$ # Nicer formatting
$ evtx_dump handout.evtx | \
> grep -Eo '.\..*\.hackerneivalhalla\.dk' | \
> sed -E 's/\..*\.hackerneivalhalla\.dk//' | \
> tr -d '\n'
FDCA{Valhalla_Hackerne_Er_Snu}