$ 포렌식 $/$ 디지털 포렌식 with CTF $
-
Memory - GrrCON 2015 #8$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 17:56
해당 문제는 거의 100% 게싱 수준의 문제라고 생각이 된다. Target1-1dd8701f.vmss 파일의 이곳저곳을 살펴 보던중 NTFS 파일 시스템에서 파일의 메타 데이터를 저장하는 파일인 MFT에서 해답을 찾을 수 있었습니다. Volatility 에는 mftparser 라는 플러그인이 존재 하기 때문에 방대한 데이터를 mftparser_data 라는 이름으로 내보내기를 했습니다. 그리고 해커의 정보가 있다고 하는데 .txt 같은 파일 보다는 사용자 명으로 있을거 같다는 생각이 들어서 Users\ 를 검색해 봤습니다. 그중 좀 수상한 이름을 발견했습니다. zerocool 이란 Hackers 라는 영화에서 주인공이 사용하는 닉네임 입니다. Flag : Hackers 출처 : 디지털 포렌식 with CTF
-
Memory - GrrCON 2015 #7$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 17:55
문제의 설명을 잘 살펴 보면 악성코드는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만을 실행 하도록 하는데, 해당 파일에서의 멀웨어가 사용하는 고유 이름(고유한 값)을 찾는 문제 같습니다. 여기서 고유한 값이나 이름을 사용해서 하나만을 실행하도록 하는 것을 Malware Mutex 라고도 이야기 합니다. Malware Mutex 관련 자세한 영문설명 블로그 주소는 아래와 같습니다. Malware Mutex : https://cybersecurity.att.com/blogs/labs-research/malware-exploring-mutex-objects Malware Mutex를 간단하게 이야기를 하면 뮤텍스는 변수와 같은 리소스에 대한 동시 액세스를 피하기 위해 일반적으로 사용하는..
-
Memory - GrrCON 2015 #6$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 17:53
악성코드가 C&C 서버에 재인증으로 사용하는 비밀번호를 찾는 문제입니다. 먼저 C&C 서버가 어떤 역할을 하는지에 대해 먼저 알아볼 필요가 있습니다. 이전 문제들 에서 해당 악성코드 파일에 적용되어진 상황과 C&C 서버를 사용한다는 점을 고려해 봤을때 해당 악성코드는 아래와 같이 동작할것 입니다. 각각의 개인 PC를 좀비PC로 감염시키는 역할을 프로세스 인젝션 된 프로세스인 iexplore.exe이고, 감염된 좀비PC로 부터 정보를 수집하는 역할을 C&C 서버가 한다는 것을 알수 있습니다. 그렇기 때문에 iexplore.exe 의 memdump 떠서 dmp파일에서 비밀번호를 찾아 보겠습니다. 그리고 strings 명령어로 txt파일을 추출 해보겠습니다. 컴퓨터가 재부팅되고, 바로 레지스트리키가 실행이 된..
-
Memory - GrrCON 2015 #5$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 17:53
재부팅 이후에 지속성을 유지하는 레지스트리 키를 생각을 해보면 Microsoft\Windows\CurrentVersion\Run 레지스트리를 떠올릴수 있습니다. 재부팅 이후에 지속성을 유지하는 레지스트리 키 관련 정보는 아래의 포스팅에서 확인해 보실수 있습니다. 레지스트리 키 관련 블로그 : https://twoicefish-secu.tistory.com/59 그렇다면 volatility를 이용해서 아래의 명령어를 통해서 Microsoft\Windows\CurrentVersion\Run 레지스트리의 하위에 존재하는 키를 확인해보겠습니다. 하위에 키가 2개가 존재 하는데 하나는 VMware에서 사용하는 vmtools관련 레지스트리 키인 VMware User Process 이고, 나머지 하나는 이전 문제에서..
-
Memory - GrrCON 2015 #4$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 12. 20. 21:49
문제를 해결하기 위해서는 프로세스 인젝션(Process Injection) 이 무엇인지에 대해서 공부를 해봐야 합니다. Memory Forensic 문제 풀이 글이기 때문에 Process Injection에 대해서는 상세히 다루지 않겠습니다. Process Injection이란? 다양한 Injection 공격 중에서 Process 를 파일에 추가하여 해당 프로그램이 실행이 됬을때, 인젝션된 프로세스 프로그램까지 같이 실행이 되는 것을 의미합니다. 자세한 내용은 아래의 사이트에서 확인해 보실수 있습니다. Process Injection : https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-..
-
Memory - GrrCON 2015 #3$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 12. 20. 21:48
공격자는 피싱에 성공을 한것으로 보아 앞서 언급한 AnyConnectInstaller.exe를 이용해서 공격을 한것으로 추측을 할 수 있다. 아래의 filescan 플러그인을 이용해서 해당 파일의 경로를 좀 찾아 보겠습니다. 총 6가지의 파일이 출력이 되는데 0x000000003df1cf00와 dumpfiles 플러그인을 이용해서 파일을 복구해 보겠습니다. dumpfiles 플러그인을 이용하면 올바르게 복구가 됬을때 dat 파일과 img 파일이 2개가 나오는데 두개다 안나오면 복구가 재대로 안된 상태 입니다. ↑ 복구가 완료된 상태의 파일 .img 파일을 바이러스인지 확인해 주는 VirusTotal을 이용해 보겠습니다. 넣어보니 악성코드라는 것은 확실 했고, Xtrat 라는 문자열이 많았습니다. 해당 문..
-
Memory - GrrCON 2015 #1$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 12. 20. 21:40
Target1-1dd8701f.vmss 파일을 가지고 1번 부터 16번 문제까지 풀이를 하는것으로 확인이 됩니다. 이상한 메일을 클릭한것 같다고 하면서 어떤 이메일로 메일이 왔는지 찾는 문제입니다. .vmss 파일이란? VMware에 사용되는 파일로, Suspended 상태를 저장하는 파일로서 suspend된 가상 머신의 상태를 저장합니다. Volatility Tool를 이용해서 해당 파일의 imageinfo를 알아 보겠습니다. --profile 옵션에 넣어야 하는 값은 Win7SP0x86이라는 것을 얻었고, 메모리 관련 파일이기 때문에 프로세스를 확인해 보겠습니다. 이메일 관련 프로그램 프로세스인 outlook.exe 가 실행 되는 것을 확인 할 수 있었습니다. 해당 프로세스의 PID 값을 이용해서 메..