Digital Forensic44 [DigitalForensic with CTF] GrrCON 2015 #10(10) 10번 문제는 공격자가 프런트 데스크 PC를 손상시키기 위해 옮긴 프로그램(혹은 툴) 3가지를 찾아야 한다. 이를 알아보기 위해 악성 프로그램 이용을 위해 사용된 프로세스인 iexplore.exe를 dump해보자. 이전에 이미 pstree를 통해 다뤘기에 자세한 건 생략하겠다. 참고로 2996은 iexplore.exe의 PID이다. memdump 명령을 실행 후 2996.dmp를 읽을 수 있는 형태인 2996.txt로 변환하자. 2996.txt를 호스트 pc에서 notepad++로 천천히 잠시 동안 살펴보았는데, 내용 중간중간에 frontdesk가 나오는 것을 볼 수 있었다. 문제에서 '프런트 데스크'라는 말이 있었는데, 이와 연관되는 것 같아서 검색 내용을 'frontdesk'로 바꾼 뒤 찾기를 계속 .. 2021. 12. 9. [DigitalForensic with CTF] GrrCON 2015 #9(9) 8번 문제는 추측성 문제 + 포렌식 실력하고는 거리가 먼듯해 건너뛰고 9번 문제를 다룰 것이다. 이번에는 관리자 계정의 해시 암호를 알아내야 한다. https://www.andreafortuna.org/2017/11/15/how-to-retrieve-users-passwords-from-a-windows-memory-dump-using-volatility/를 참고하면 좋을 것 같다. hivelist를 통해 여러 레지스트리 하이브의 가상 및 절대 주소를 알 수 있는데, 계정의 (해쉬)비밀번호를 알기 위해서는 SYSTEM과 SAM파일의 가상 주소가 필요하다. 그 이유는 명령어의 인자로 써야하기 때문인데, 'volatility -f image.vmem --profile=[Profile명] hashdump -y.. 2021. 12. 9. [DigitalForensic with CTF] GrrCON 2015 #7(7) 7번 문제는 맬웨어의 고유 이름을 찾는 문제이다. 이번 문제는 https://eforensicsmag.com/finding-advanced-malware-using-volatility/를 참고하면 좋을 것 같다. 이번엔 volatility를 사용하면서 'handles' 플러그인을 이용할 것인데, 그전에 핸들이 무엇을 의미하는지 알 필요가 있다. 핸들(Handle)은 프로세스 정보 중 하나로 커널이 관리하는 오브젝트들에 할당되는 유일한 '값'으로서, 프로세스 생성 시 필요한 자원에 대한 사용 요청을 할 때 사용하는 값이다. 핸들에는 파일, 디렉터리, 포트, 스레드, 세마포어 등이 포함되고, 하나의 프로세스에 여러 개의 핸들을 가지고 있는 것이 일반적이다. 출처: https://ziscuffine.tisto.. 2021. 12. 7. [DigitalForensic with CTF] GrrCON 2015 #6(6) 6번 문제에서는 C&C 서버 인증을 위해 사용되는 특정 비밀번호를 알아내야 한다. (중략)... volatility로 pstree 명령어를 사용해 프로세스 목록을 살펴보면 이전에도 여러 번 본 프로세스들이 나열되어 있다. C&C 서버는 공격자가 공격을 하기 위해 이용하는 일종의 발판이니깐, 이와 비슷한 역할을 하는 프로세스 중 iexplore.exe에 대한 덤프를 떠야겠다고 생각했다. 위는 memdump 명령어로 PID가 2996인 iexplore.exe에 대한 덤프를 뜨는 과정이다. 이후 strings 명령어를 통해 txt로 파일 변환을 해주자. vmware를 나와 호스트 pc에서 notepad++로 해당 txt파일을 열었다. 역시나 양이 너무 방대한 탓에 일일이 분석하기란 불가능에 가까웠고, 효율적인.. 2021. 12. 6. [DigitalForensic with CTF] GrrCON 2015 #5(5) 5번 문제에서는 악성 프로그램이 지속성 유지를 위해 사용하는 레지스트리 key이름을 알아내야 한다. 여기서 '재부팅 후에도 지속성을 유지'한다는 것이 핵심인데, 이와 관련된 기능을 하는 윈도우 레지스트리 여러 개가 있다. - 특정 계정에 대해 영구적인 설정 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - 특정 계정에 대해 일시적인 설정 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce - 전체 계정에 대해 영구적인 설정 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run - 전체 계정에 대해 일시적인 .. 2021. 12. 4. [DigitalForensic with CTF] GrrCON 2015 #4(4) 4번째 문제에서는 프로세스 인젝션에 사용된 프로세스의 ID를 알아내야 한다. (중략)... 이를 위해 volatility의 pstree 명령어로 프로세스 목록부터 살펴보자. 프로세스 목록을 살펴보던 중, 의심스러운 프로세스들이 눈에 띈다. 처음 눈에 띈 것은 TeamViewer.exe와 iexplore.exe다. 우선 첫 번째로 TeamViewer는 원격 기능이 있는 프로그램으로서 혹여나 공격자가 설치된 악성 프로그램을 기반으로 TeamViewer를 통해 원격으로 악의적인 행동을 하였을 가능성이 있다고 판단했다. 다음은 IE(인터넷 익스플로어)인데, 위 화면을 보면 IE가 단독 프로세스로 실행된 것을 볼 수 있다. 추가적으로, IE 하위 프로세스로 cmd가 실행된 것도 볼 수 있다. IE를 눈여겨본 이유.. 2021. 12. 3. [DigitalForensic with CTF] GrrCON 2015 #3(3) 3번째 문제에서는 공격자가 이용한 것으로 보이는 악성코드가 어떤 악성코드인지 알아내야 한다. filescan과 grep 명령어를(내 시스템에서는 findstr 사용 불가) 통해 'AnyConnectInstaller.exe'가 저장된 흔적을 찾을 수 있다. 이 명령을 실행한 후 'AnyConnectInstaller'라는 문자열과 일치하는 것이 있으면 결과가 출력된다. 명령 실행 후 조금 기다리니 총 6개의 결과가 출력되었다. 맨 위에 것부터 차례대로 하나씩 구해보자. dumpfiles 플러그인과 앞서 출력된 결과 중 메모리 값을 인자로 이용해서 해당 파일을 복구를 시도하면, 명령 실행 종료와 동시에 현재 위치('./')에 파일이 복구가 완료되어있다. 이것이 악성파일인지 VirusTotal에서 확인해보기 위.. 2021. 12. 2. [DigitalForensic with CTF] GrrCON 2015 #2(2) 2번째 문제는 공격자가 이메일로 첨부한 (악성파일로 추정되는)파일의 이름을 찾아내는 것이 목표이다. 1번째 문제에서 다루었던, 텍스트 파일로 변환시킨 outlook 덤프 파일(3196.dmp -> 3196.txt)를 그대로 사용할 것이고, https://study-self.tistory.com/101?category=975577 [DigitalForensic with CTF] Sans Network Forensic GrrCON 2015 #1(1) 이번 문제에서는 의심스러운 이메일을 알아내야 하는 듯하다. 문제화면에서 주어진 vmss(일시정지된 가상머신) 파일을 받은 뒤 Ubuntu 16으로 옮겨서 분석을 시도했다. 우선 imageinfo로 메모리의 정 study-self.tistory.com 이를 얻는 .. 2021. 12. 2. [DigitalForensic with CTF] GrrCON 2015 #1(1) 이번 문제에서는 의심스러운 이메일을 알아내야 하는 듯하다. 문제화면에서 주어진 vmss(일시정지된 가상머신) 파일을 받은 뒤 Ubuntu 16으로 옮겨서 분석을 시도했다. 우선 imageinfo로 메모리의 정보를 살펴보고, 이후 표시된 문자열을 프로파일로 하여 분석해보도록 하자. (습관적으로 PID와 PPID를 서로 짜맞춘다...)pstree 명령어를 통해 프로세스들을 트리 형태로 보기 쉽게 출력을 한 뒤, 의심되는 것을 찾아보았다. 살펴보던 중 이번 문제에서 제시된 '이메일'이라는 키워드가 생각이 났는데, 생각해보니 이메일을 주고 받을 수 있는 프로그램 중에 MS Outlook이 있었지 않았나라는 게 생각이 났다. (만약 MS 관련 프로그램을 모르면 문제를 풀지 못하는 것인가..) 덤프를 뜨기 위해 O.. 2021. 12. 1. 이전 1 2 3 4 5 다음
