Digital Forensic44 [DigitalForensic with CTF] GrrCON 2015 #28(28) 28번 문제에서는 멀웨어가 사용하는 키를 구해야 한다. 앞서 악의적인 행위의 실행과 관련된 경로를 다루었었는데, 이 경로를 나중에 이용할 것이다. key를 찾기 위해 mftparser 플러그인으로 'Exchange Server'를 검색했다. 명령 실행이 끝나면 결과로 mftparser.csv 파일이 생성되는데, 이를 호스트 PC로 옮긴 후 엑셀로 열어 확인해보았다. 1만 줄이 넘는 결과 중에서 의미 있는 결과를 도출하기 위해 방금 언급한 해당 경로를 복사한 후 찾기를 해보자. 해당 경로를 검색값으로 지정해 찾으면 출력 결과가 40여 개로 줄어드는데, 여기서 하나씩 확인하다 보면 중간에 thekey로 보이는 txt 파일이 하나 있다. 이 파일이 key 내용을 담고 있을 것이라는 생각이 들어 dump하기 위.. 2022. 1. 16. [DigitalForensic with CTF] GrrCON 2015 #27(27) 27번 문제는 공격에서 사용된 malware의 고유 이름을 찾는 문제이다. 마치 exe 형식의 파일 등을 찾아서 virustotal에 검색해 이름을 찾으면 되는 문제처럼 느껴졌다. 26번에서 구한 파일인 'error1.aspx'에 관한 정보가 있는지 chrome.exe(PID: 14292)의 덤프 파일에서 찾아보았는데, 위처럼 패킷이 오고 간 흔적이 있었다. 길어 보이지만 파란 동그라미로 표시된 부분이 사실상 한 줄인데, 중간 문자열들이 base64로 암호화가 된듯하다. 그중에서 밑줄 친 부분을 복호화를 해보았다. 복호화하면 평문이 나타나는데, 공격을 실행하기 위해 사용된 명령어처럼 보인다. 이와 관련해 단서가 또 있는지 일치하는 부분을 찾는 식으로 검색해보기로 했다. 위의 표시된 위치 중 일부를 복사했.. 2022. 1. 11. [DigitalForensic with CTF] GrrCON 2015 #26(26) 26번 문제부터는 새로운 메모리 파일을 분석해야 한다. 여태까지는 1~2GB 크기의 메모리를 다뤘지만, 이번에는 8GB짜리 메모리이다. 문제를 보면, 교환 서버를 제어하는데 사용된 특정 파일의 이름을 알아내야하는 것 같은데, Key Format을 보니 '.aspx' 파일을 구해야하는 것 같다. 구글 검색 결과, '.aspx' 형식의 파일은 ASP.NET용 서버 관련 파일이라고 한다. 분석하기에 앞서 프로파일을 먼저 구하기 위해 imageinfo를 실행했다. 8GB 메모리인 만큼 기존에 다뤄온 메모리들보다 결과 출력이 비교적 시간이 더 오래 걸렸다. 나열된 것들 중에서 아무거나 선택해도 상관없을 것 같지만, 저중에서 표시된 것을 선택했다. pstree 명령을 실행한 후 결과의 뒷쪽을 보면 w3wp.exe가.. 2022. 1. 8. [DigitalForensic with CTF] GrrCON 2015 #25(25) 25번 문제는 '악성코드가 처음에 설치된 파일의 이름'..이라고 되어있는데, 정확히는 '악성코드를 처음 설치시킨 파일의 이름'이 맞는 것 같다. https://study-self.tistory.com/122 [DigitalForensic with CTF] GrrCON 2015 #23(23) 23번 문제는 감염에 사용된 malware의 이름을 알아내는 문제이다. 이전 문제에서 iexplore.exe(Pid: 3208)가 악의적인 용도로 사용되었다는 것이 어느정도 확실시 되었으므로, 해당 프로세스를 dump해 malwa study-self.tistory.com 23번 문제를 풀면서 25번 문제의 답을 미리 얻은 것 같다. 3208.txt의 내용을 살펴보던 도중 'allsafe_update.exe'라는 파일을.. 2022. 1. 8. [DigitalForensic with CTF] GrrCON 2015 #24(24) 24번은 POS에서 화이트리스트로 정의된 악성코드 이름을 찾는 문제이다. 이미 앞의 문제들을 다루면서 악성으로 판단한 프로세스의 PID를 인자로 하여 malfind 명령을 실행하였다. malfind는 일반적인 method로는 찾기 힘든 정보를 찾게 해주는 기능을 한다. 명령을 실행한 결과로 위와 같은 dmp파일이 생성된다. 이를 바로 읽기는 어렵기에 txt파일로 변환을 해준 뒤, 변환된 txt를 호스트 PC로 옮겨 미리보기로 보여지는 내용의 일부를 보았다. 미리보기 내용의 윗부분을 보면 새로 보이는 몇몇 프로그램들이 눈에 띈다. 이 몇몇 프로그램들은 위의 pstree 명령의 출력 결과(일부만 발췌)에서는 나오지 않는 것들로서, 공격자가 화이트리스트로 특정 프로그램들을 미리 정해 포함시켜 공격 시 사용하게.. 2021. 12. 28. [DigitalForensic with CTF] GrrCON 2015 #23(23) 23번 문제는 감염에 사용된 malware의 이름을 알아내는 문제이다. 이전 문제에서 iexplore.exe(Pid: 3208)가 악의적인 용도로 사용되었다는 것이 어느정도 확실시 되었으므로, 해당 프로세스를 dump해 malware의 흔적을 찾아보기로 했다. dump이후엔 txt파일로 변환시켰다. 호스트 PC에서 notepad++로 3208.txt를 연 뒤 'pos'와 일치하는 것이 나온 부분을 살펴보며 아래 방향으로 찾기를 계속하던 중, 웹 프로그래밍 구문같은 것이 나와서 지켜보았다. 내용을 보아하니, 'allsafe_update.exe'라는 실행 파일을 가능한 빨리 다운받으라고 나와있다. 해당 파일을 받는 URL에서 바로 이전 문제에서 다룬 공격자의 C&C서버 IP주소가 포함되어 있으므로, 해당 U.. 2021. 12. 28. [DigitalForensic with CTF] GrrCON 2015 #22(22) 22번 문제부터는 새로운 vmss 파일이 주어진다. 이번에는 공격에 쓰인 C&C서버의 IP주소를 얻어내야 한다. 새로운 메모리를 분석하는 것이기에 imageinfo부터 해주었다. profile 값으로는 표시된 것을 사용할 생각이다. pstree를 통해 출력된 결과를 살펴보던 중, explorer.exe(Pid: 3208) 하위에서 실행되지 않고 단독으로 실행되는 iexplore.exe가 왠지 공격에 사용된 프로세스가 아닐까 의심스러웠다. C&C 서버와의 연결과 관련이 있는 프로세스를 찾기 위해 netscan명령어로 네트워크 연결 정보를 출력했다. 앞서 언급했던 iexplore.exe(Pid: 3208)가 80번 포트를 통해 외부와 연결된 것을 볼 수 있다. 해당 IP주소를 복사해 flag로 제출하였더니 .. 2021. 12. 27. [DigitalForensic with CTF] GrrCON 2015 #21(21) 21번 문제는 예약 작업과 연결된 파일의 이름을 찾아내는 문제이다. 처음엔 몰랐는데, https://driversol.com/ko/file-extensions/job-4063에 언급된 내용 일부를 보니 예약된 작업, 스케줄링 작업과 관련된 파일은 job 파일이라고 한다. 해당 vmss파일에서 job파일의 흔적을 찾기 위해 'job'을 키워드로 filescan을 하였다. 스캔이 끝나고 나면 위처럼 여러 개의 파일들이 출력되는데 우리는 '.job' 확장자의 파일을 알아보아야하므로, '.job'으로 끝나는 파일 2개를 보도록 하자. 2개 중 하나는 구글 관련 파일인 것 같으므로 제외하고, 그렇다면 결국 살펴보아야 할 파일은 'At1.job'일 것 같다. At1.job의 내용을 살펴보기 위해 dump를 하면 d.. 2021. 12. 27. [DigitalForensic with CTF] GrrCON 2015 #20(20) 20번 문제에서는 공격자가 rar 아카이브(아마 압축파일)에 추가한 파일 이름 3개를 알아내야 한다. 이전에도 사용한 cmdscan 명령어를 다시 이용하면, 실행된 cmd 명령들에 대한 기록을 볼 수가 있는데, 윗부분의 Pid를 보면 conhost.exe(Pid: 3048) 프로세스의 실행하에 이러한 과정이 이뤄졌음을 알 수 있고, 또한 공격자가 rar에 추가한 것이 '.txt' 파일인 것도 알 수 있다. 무엇을 분석할 지 알았으니, 이후 바로 해당 프로세스를 dump하였다. 이번 문제도 strings를 통해 txt로 변환한 파일에서 정답을 찾으려고 노력해보았으나... 못 찾는 바람에 방법을 바꾸고 dmp 파일 자체를 살펴보는 방향으로 정했다. dump과정을 완료한 후, 호스트 PC로 3048.dmp를 .. 2021. 12. 26. 이전 1 2 3 4 5 다음
