본문 바로가기
디지털 포렌식(Digital Forensics)/CTF(ctf-d.com)

[Memory] GrrCON 2015 #7

by LIZ0904 2020. 9. 14.
반응형

문제

문제에서 '멀웨어는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만 실행되도록 한다.' 라고 되어있는데, 이는 멀웨어 뮤텍스(Malware Mutex) 라고도 한다.

 

 

 

 

cybersecurity.att.com/blogs/labs-research/malware-exploring-mutex-objects

 

Malware: Exploring mutex objects

A mutex, also called a lock is a program object commonly used to avoid simultaneous access to a resource, such a variable. It’s used in concurrent programming to allow multiple program threads to share the same resource. Mutexs are usually used by malwar

cybersecurity.att.com

위 사이트에 따르면, 뮤텍스(lock이라고도 불림)는 변수와 같은 리소스에 대한 동시 액세스를 피하기 위해 일반적으로 사용되는 프로그램이라고 되어있다. 또한 뮤텍스는 일반적으로 동일한 악성 프로그램의 다른 인스턴트에 의한 시스템 감염을 방지하기 위해 악성 프로그램 작성자에 의해 사용된다고도 명시되어 있다.

 

 

 

 

blog.naver.com/i1004yu/221999924367

 

[DigitalForensic with CTF] GrrCON 2015 #4

=> 악성코드에 인젝션된 프로세스의 PID를 찾는 문제이다.그러기 위해선 #2에서 발견했던 공격...

blog.naver.com

이 또한 볼라틸리티를 이용해 문제를 풀어보면 된다. GrrCON2015 #4 문제와 연관되어 있지만, 나는 풀지 못했으므로 이 블로그를 참고해 이전 문제(#4)의 풀이과정을 확인해보았다. 4번 문제를 통해 알 수 있었던 건, 멀웨어 AnyConnectInstaller.exe의 PID가 2996이라는 것이었다.

 

 

 

 

때문에 볼라틸리티의 Mutant 명령어를 사용해 문제를 풀어보았다.

위에서 Mutex에 대해서 언급했는데, Mutant는 Mutex와 비슷하게 리소스에 대해 상호 배타적인 엑세스를 제어하기 위해 사용된다. 하지만 Mutex는 커널 모드 컴포넌트에 의해서만 사용되지만, Mutant는 커널 모드 뿐만 아니라 사용자 모드에서도 사용할 수 있기 때문에 Mutant를 확인해주었다.

 

 

 

mutant 확인

vol.py -f "vmss 파일의 경로" --profile=Win7SP1x86 handles -p 2996 -t mutant

 

PID 값이 2996인 악성코드 관련 프로세스를 확인하다는 명령어와 함께, type을 mutant로 설정하면 위와 같은 결과가 뜬다.

저기서 눈에 띄는 fsociety0.dat을 정답에 입력해보았다.

 

 

 

 

정답!!!

정답은 fsociety0.dat 이었다!

 

 

 

 

 

 

 

 

.

.

.

 

참고 블로그

blog.naver.com/i1004yu/222022203369

 

[DigitalForensic with CTF] GrrCON 2015 #7

=> 시스템 자체 복사본 하나만 실행 되도록 하는 것은공유 불가능한 자원의 동시 사용을 피하기 ...

blog.naver.com

 

반응형

댓글