[HCAMP][Forensic] Party of Base64

 

파일을 열어보면 다음과 같은 파일을 확인할 수 있습니다.

 

이것을 제외하고는 아무것도 찾을 수 없었습니다.

그래서 확장자를 .zip으로 변경해서 은닉된 파일을 찾아 보겠습니다.

 

 

vbaProject.bin 파일이 있습니다.

해당 파일의 시그니처를 확인해 보겠습니다.

 

해당 해더 시그니처를 가지는 확장자가 한두개가 아닙니다. 하나씩 넣어보면 .dot로 바꿀수 있습니다.

.dot으로 확장자를 바꾸고 열어보면 다음과 같습니다.

 

==으로 끝나는 base64 인코딩된 문자열이있습니다.

복호화 해보겠습니다.

 

 

아래의 코드를 한번 확인해 보겠습니다.

 

base64 인코딩 문자열이 또 있습니다. 

디코딩을 바로 해보겠습니다.

 

gz확장자의 헤더 시그니처 입니다.

파일로 만들어 보겠습니다.

 

 

HCAMP_encoded.txt 파일이 들어있지만 알아볼수가 없습니다.

아까 코드를 다시 확인해 보면.. 아래에 for 문 로직이 있습니다.

 

 

XOR 13을 해서 파일을 다시 재생성 해보겠습니다.

 

 

파일을 만들었으니 내용을 확인해 보겠습니다.

 

 

진짜 놀랍게도 c언어 코드가 들어있습니다.

 

바로 컴파일해서 실행 시켜 보겠습니다.

 

Flag : HCAMP{Customize_Powershell_Malware}