6번 문제에서는 C&C 서버 인증을 위해 사용되는 특정 비밀번호를 알아내야 한다.
(중략)...
volatility로 pstree 명령어를 사용해 프로세스 목록을 살펴보면 이전에도 여러 번 본 프로세스들이 나열되어 있다. C&C 서버는 공격자가 공격을 하기 위해 이용하는 일종의 발판이니깐, 이와 비슷한 역할을 하는 프로세스 중 iexplore.exe에 대한 덤프를 떠야겠다고 생각했다.
위는 memdump 명령어로 PID가 2996인 iexplore.exe에 대한 덤프를 뜨는 과정이다. 이후 strings 명령어를 통해 txt로 파일 변환을 해주자.
vmware를 나와 호스트 pc에서 notepad++로 해당 txt파일을 열었다.
역시나 양이 너무 방대한 탓에 일일이 분석하기란 불가능에 가까웠고, 효율적인 분석을 위해 앞서 악성 프로그램 관련한 레지스트리 key 이름으로 다뤄진 'MrRobot'을 검색하였다.
'MrRobot'을 검색한 결과, 일치하는 것이 몇 개 없었는데 위처럼 바로 처음에 문제에서 언급된 '대/소문자+숫자' key foramt에 부합하는 'GrrCon2015' 문자열이 하나 눈에 띄었다.
이를 flag로 제출하니 정답이었다.
'Digital Forensic > 디지털포렌식 with CTF' 카테고리의 다른 글
| [DigitalForensic with CTF] GrrCON 2015 #9(9) (0) | 2021.12.09 |
|---|---|
| [DigitalForensic with CTF] GrrCON 2015 #7(7) (0) | 2021.12.07 |
| [DigitalForensic with CTF] GrrCON 2015 #5(5) (0) | 2021.12.04 |
| [DigitalForensic with CTF] GrrCON 2015 #4(4) (0) | 2021.12.03 |
| [DigitalForensic with CTF] GrrCON 2015 #3(3) (0) | 2021.12.02 |
