[DigitalForensic with CTF] GrrCON 2015 #22(22)

22번 문제부터는 새로운 vmss 파일이 주어진다. 이번에는 공격에 쓰인 C&C서버의 IP주소를 얻어내야 한다.

 

새로운 메모리를 분석하는 것이기에 imageinfo부터 해주었다. profile 값으로는 표시된 것을 사용할 생각이다.

 

pstree를 통해 출력된 결과를 살펴보던 중, explorer.exe(Pid: 3208) 하위에서 실행되지 않고 단독으로 실행되는 iexplore.exe가 왠지 공격에 사용된 프로세스가 아닐까 의심스러웠다.

 

C&C 서버와의 연결과 관련이 있는 프로세스를 찾기 위해 netscan명령어로 네트워크 연결 정보를 출력했다.

 

앞서 언급했던 iexplore.exe(Pid: 3208)가 80번 포트를 통해 외부와 연결된 것을 볼 수 있다.

 

해당 IP주소를 복사해 flag로 제출하였더니 정답이었다.