vmware7 [DigitalForensic with CTF] GrrCON 2015 #7(7) 7번 문제는 맬웨어의 고유 이름을 찾는 문제이다. 이번 문제는 https://eforensicsmag.com/finding-advanced-malware-using-volatility/를 참고하면 좋을 것 같다. 이번엔 volatility를 사용하면서 'handles' 플러그인을 이용할 것인데, 그전에 핸들이 무엇을 의미하는지 알 필요가 있다. 핸들(Handle)은 프로세스 정보 중 하나로 커널이 관리하는 오브젝트들에 할당되는 유일한 '값'으로서, 프로세스 생성 시 필요한 자원에 대한 사용 요청을 할 때 사용하는 값이다. 핸들에는 파일, 디렉터리, 포트, 스레드, 세마포어 등이 포함되고, 하나의 프로세스에 여러 개의 핸들을 가지고 있는 것이 일반적이다. 출처: https://ziscuffine.tisto.. 2021. 12. 7. [DigitalForensic with CTF] GrrCON 2015 #6(6) 6번 문제에서는 C&C 서버 인증을 위해 사용되는 특정 비밀번호를 알아내야 한다. (중략)... volatility로 pstree 명령어를 사용해 프로세스 목록을 살펴보면 이전에도 여러 번 본 프로세스들이 나열되어 있다. C&C 서버는 공격자가 공격을 하기 위해 이용하는 일종의 발판이니깐, 이와 비슷한 역할을 하는 프로세스 중 iexplore.exe에 대한 덤프를 떠야겠다고 생각했다. 위는 memdump 명령어로 PID가 2996인 iexplore.exe에 대한 덤프를 뜨는 과정이다. 이후 strings 명령어를 통해 txt로 파일 변환을 해주자. vmware를 나와 호스트 pc에서 notepad++로 해당 txt파일을 열었다. 역시나 양이 너무 방대한 탓에 일일이 분석하기란 불가능에 가까웠고, 효율적인.. 2021. 12. 6. [DigitalForensic with CTF] GrrCON 2015 #5(5) 5번 문제에서는 악성 프로그램이 지속성 유지를 위해 사용하는 레지스트리 key이름을 알아내야 한다. 여기서 '재부팅 후에도 지속성을 유지'한다는 것이 핵심인데, 이와 관련된 기능을 하는 윈도우 레지스트리 여러 개가 있다. - 특정 계정에 대해 영구적인 설정 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - 특정 계정에 대해 일시적인 설정 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce - 전체 계정에 대해 영구적인 설정 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run - 전체 계정에 대해 일시적인 .. 2021. 12. 4. [DigitalForensic with CTF] GrrCON 2015 #4(4) 4번째 문제에서는 프로세스 인젝션에 사용된 프로세스의 ID를 알아내야 한다. (중략)... 이를 위해 volatility의 pstree 명령어로 프로세스 목록부터 살펴보자. 프로세스 목록을 살펴보던 중, 의심스러운 프로세스들이 눈에 띈다. 처음 눈에 띈 것은 TeamViewer.exe와 iexplore.exe다. 우선 첫 번째로 TeamViewer는 원격 기능이 있는 프로그램으로서 혹여나 공격자가 설치된 악성 프로그램을 기반으로 TeamViewer를 통해 원격으로 악의적인 행동을 하였을 가능성이 있다고 판단했다. 다음은 IE(인터넷 익스플로어)인데, 위 화면을 보면 IE가 단독 프로세스로 실행된 것을 볼 수 있다. 추가적으로, IE 하위 프로세스로 cmd가 실행된 것도 볼 수 있다. IE를 눈여겨본 이유.. 2021. 12. 3. [DigitalForensic with CTF] GrrCON 2015 #3(3) 3번째 문제에서는 공격자가 이용한 것으로 보이는 악성코드가 어떤 악성코드인지 알아내야 한다. filescan과 grep 명령어를(내 시스템에서는 findstr 사용 불가) 통해 'AnyConnectInstaller.exe'가 저장된 흔적을 찾을 수 있다. 이 명령을 실행한 후 'AnyConnectInstaller'라는 문자열과 일치하는 것이 있으면 결과가 출력된다. 명령 실행 후 조금 기다리니 총 6개의 결과가 출력되었다. 맨 위에 것부터 차례대로 하나씩 구해보자. dumpfiles 플러그인과 앞서 출력된 결과 중 메모리 값을 인자로 이용해서 해당 파일을 복구를 시도하면, 명령 실행 종료와 동시에 현재 위치('./')에 파일이 복구가 완료되어있다. 이것이 악성파일인지 VirusTotal에서 확인해보기 위.. 2021. 12. 2. [DigitalForensic with CTF] GrrCON 2015 #2(2) 2번째 문제는 공격자가 이메일로 첨부한 (악성파일로 추정되는)파일의 이름을 찾아내는 것이 목표이다. 1번째 문제에서 다루었던, 텍스트 파일로 변환시킨 outlook 덤프 파일(3196.dmp -> 3196.txt)를 그대로 사용할 것이고, https://study-self.tistory.com/101?category=975577 [DigitalForensic with CTF] Sans Network Forensic GrrCON 2015 #1(1) 이번 문제에서는 의심스러운 이메일을 알아내야 하는 듯하다. 문제화면에서 주어진 vmss(일시정지된 가상머신) 파일을 받은 뒤 Ubuntu 16으로 옮겨서 분석을 시도했다. 우선 imageinfo로 메모리의 정 study-self.tistory.com 이를 얻는 .. 2021. 12. 2. [DigitalForensic with CTF] GrrCON 2015 #1(1) 이번 문제에서는 의심스러운 이메일을 알아내야 하는 듯하다. 문제화면에서 주어진 vmss(일시정지된 가상머신) 파일을 받은 뒤 Ubuntu 16으로 옮겨서 분석을 시도했다. 우선 imageinfo로 메모리의 정보를 살펴보고, 이후 표시된 문자열을 프로파일로 하여 분석해보도록 하자. (습관적으로 PID와 PPID를 서로 짜맞춘다...)pstree 명령어를 통해 프로세스들을 트리 형태로 보기 쉽게 출력을 한 뒤, 의심되는 것을 찾아보았다. 살펴보던 중 이번 문제에서 제시된 '이메일'이라는 키워드가 생각이 났는데, 생각해보니 이메일을 주고 받을 수 있는 프로그램 중에 MS Outlook이 있었지 않았나라는 게 생각이 났다. (만약 MS 관련 프로그램을 모르면 문제를 풀지 못하는 것인가..) 덤프를 뜨기 위해 O.. 2021. 12. 1. 이전 1 다음
