-
Memory - GrrCON 2015 #6$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 17:53
악성코드가 C&C 서버에 재인증으로 사용하는 비밀번호를 찾는 문제입니다.
먼저 C&C 서버가 어떤 역할을 하는지에 대해 먼저 알아볼 필요가 있습니다.
이전 문제들 에서 해당 악성코드 파일에 적용되어진 상황과 C&C 서버를 사용한다는 점을 고려해 봤을때 해당 악성코드는 아래와 같이 동작할것 입니다.
각각의 개인 PC를 좀비PC로 감염시키는 역할을 프로세스 인젝션 된 프로세스인 iexplore.exe이고, 감염된 좀비PC로 부터 정보를 수집하는 역할을 C&C 서버가 한다는 것을 알수 있습니다.
그렇기 때문에 iexplore.exe 의 memdump 떠서 dmp파일에서 비밀번호를 찾아 보겠습니다.
그리고 strings 명령어로 txt파일을 추출 해보겠습니다.
컴퓨터가 재부팅되고, 바로 레지스트리키가 실행이 된뒤에 인증을 바로 할것이므로 MrRobot 문자열 근처에 있을 것 입니다.
MrRobot를 검색해 보면 아래와 같습니다.
MrRobot 근처에 대소문자를 혼용한 문자열은 위와 같이 2개 뿐인데 Xtreme 는 악성코드 명이기 때문에 GrrCon2015가 비밀번호가 될수 있다.
Flag : GrrCon2015
출처 : 디지털 포렌식 with CTF
'$ 포렌식 $ > $ 디지털 포렌식 with CTF $' 카테고리의 다른 글
Memory - GrrCON 2015 #8 (0) 2020.01.03 Memory - GrrCON 2015 #7 (0) 2020.01.03 Memory - GrrCON 2015 #5 (0) 2020.01.03 Memory - GrrCON 2015 #4 (0) 2019.12.20 Memory - GrrCON 2015 #3 (0) 2019.12.20