오늘의 문제는 사용된 악성코드의 이름을 찾아야한다.
https://liz09045.tistory.com/27?category=787258
[Memory] GrrCON 2015 #2
오늘의 문제는 이메일로 첨부해서 보낸 파일의 이름은 무엇인지 찾는 문제다. GrrCON 2015 #1 문제의 연장선이다. https://liz09045.tistory.com/28 [Memory] GrrCON 2015 #1 이번 문제는 이메일을 보낸 전자 메..
liz09045.tistory.com
이전에 풀었던 GrrCON 2015 #2에서 공격자가 이메일을 통해 보낸 파일인
AnyConnectInstaller.exe 파일을 중점적으로 찾아보기로 한다.
모르는 분들은 위의 링크에서 이전 문제에 대한 내용을 확인하시면 됩니다!
filescan 은 물리적 메모리에서 파일 오브젝트를 찾기 위한 명령어이고,
findstr 은 파일에서 문자열을 검색하는 명령어이다.
파이프 명령어(|)를 이용해 findstr의 결과를 filescan의 입력으로 사용해,
AnyConnectInstaller.exe 파일을 확인해보았다.
위 사진과 같이 dumpfiles 명령어를 이용해 AnyConnetInstaller.exe의 덤프파일을 생성해 주었다.
dumpfiles 는 filescan 을 통해 나온 파일을 메모리 파일로부터 실제 데이터 파일로 추출할 때
사용하는 명령어이다.
앞서 해봤던 filescan 의 결과를 보면 맨 앞부분에 0x000~ 으로 메모리 주소를 나타내는 목록이 있는데,
이 주소를 이용해 파일을 추출해준다.
[형식] vol.py -f [메모리파일] --profile=[프로파일명] dumpfiles -D [저장할 디렉토리 위치] -Q [메모리 주소]
덤프파일을 만들어가다보니 알약에서 경고문구를 띄워줬다.
악성코드가 있는게 분명해졌다.
https://www.virustotal.com/gui/home/upload
VirusTotal
www.virustotal.com
덤프파일 중에서 img 형식 파일이 있었다.
이 파일을 바이러스 목록을 보여주는 위 사이트에 넣어보자!
악성코드들의 목록이 나온다.
자세히 보면 Xtrat이라는 문구가 반복해서 나오고, 눈에 띈다.
XTRAT 은 백도어에서 많이 사용되는 악성코드로, 정상 프로그램명으로 위장한 악성파일을 생성하고 레지스트리에 등록해 자동실행하게 하기도 한다.
다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다.
그래서 아까 알약에서 트로이목마를 감지했나보다.
자세한 내용은 안랩 사이트에서 확인가능하다.
XTRAT에 대해서 보다보면 Xtreme Rat으로 잘 알려져있다는 것을 알 수 있다.
정답에 입력해보자!
정답은 XtremeRAT 이었다.
Xtream Rat으로 쳐보고 다른 것도 쳐봤지만 내용이 나오지 않아,
참고 블로그를 이용해 답을 확인해봤더니 저게 정답이었다.
치사하다.
참고블로그
https://blog.naver.com/i1004yu/221991658835
[DigitalForensic with CTF] GrrCON 2015 #3
=> 악성코드의 이름을 알기 위해 앞에 문제에서 알게된 AnyConnectInstaller.exe의 파일을 추...
blog.naver.com
'디지털 포렌식(Digital Forensics) > CTF(ctf-d.com)' 카테고리의 다른 글
| [Memory] GrrCON 2015 #5 (0) | 2020.08.24 |
|---|---|
| [Network] DefCoN#21 #6 (0) | 2020.08.01 |
| [Memory] GrrCON 2015 #2 (1) | 2020.07.20 |
| [Memory] GrrCON 2015 #1 (0) | 2020.07.20 |
| [Network] DefCoN#21 #5 (0) | 2020.07.20 |
댓글