[DigitalForensic with CTF] GrrCON 2015 #27(27)

27번 문제는 공격에서 사용된 malware의 고유 이름을 찾는 문제이다. 마치 exe 형식의 파일 등을 찾아서 virustotal에 검색해 이름을 찾으면 되는 문제처럼 느껴졌다.

 

26번에서 구한 파일인 'error1.aspx'에 관한 정보가 있는지 chrome.exe(PID: 14292)의 덤프 파일에서 찾아보았는데, 위처럼 패킷이 오고 간 흔적이 있었다. 길어 보이지만 파란 동그라미로 표시된 부분이 사실상 한 줄인데, 중간 문자열들이 base64로 암호화가 된듯하다. 그중에서 밑줄 친 부분을 복호화를 해보았다.

 

복호화하면 평문이 나타나는데, 공격을 실행하기 위해 사용된 명령어처럼 보인다. 이와 관련해 단서가 또 있는지 일치하는 부분을 찾는 식으로 검색해보기로 했다. 위의 표시된 위치 중 일부를 복사했다.

 

다시 chrome.exe의 덤프 파일로 돌아와 일치하는 것을 찾아보았는데, 우리가 발견한 것과 같은 명령어가 있었다. 위 부분을 좀더 살펴보니 PID가 9248인 프로세스의 실행 흔적으로 보였다.

 

pstree를 통해 프로세스 목록을 살펴보면 PID 9248 프로세스는 cmd.exe였고, w3wp.exe 하위에 실행된 것으로 보인다.

 

9248 프로세스를 덤프한 후, strings명령으로 텍스트화 시켜서 error1.aspx 관련 내용이 있는지 찾아보았다. 일치하는 결과가 여러 개가 나오는데, 위에 보이는 것처럼 우리가 이미 다른 덤프 파일에서 찾은 내용들도 있다.

 

위 또한 마찬가지이다. 하지만 덤프 파일 내에서 검색하는 식으로는 원하는 파일을 찾을 수가 없었기에 다른 방법으로 단서를 찾아나갔다. ubuntu에서 volatility를 통해 여러 방식으로 filescan을 함으로써 auth 디렉터리 내에서 'net use' 명령이 실행된 프로그램이 어떤 것이었는지 알아보려고 했지만 결과적으로는 찾을 수가 없었다.

 

따라서 마지막으로 구글링을 통해 찾는 식으로 해보았는데, 처음에 결과를 검색해보았을 때는 webshell 혹은 proxyshell과 같은 것이 나왔다. 공격 방법으로 볼 때는 웹쉘을 사용한 것이 맞아 보이는데, 구체적으로 무슨 공격인지 답을 알 수는 없었다. 갈피를 못 잡던 찰나, 구글링으로 정답을 얻어야한다는 힌트를 얻어 검색 방법을 달리해보았다.

 

분석을 해오면서 이 공격과 관련된 특징을 구글에 입력해 검색을 시도했는데, 검색 결과를 살펴보던 도중 위처럼 'China Chopper'라는 웹쉘이 이번 공격의 특징과 어느정도 맞는 것 같았다.

 

해당 고유 이름을 flag로 제출하니 정답이었다.