$ 포렌식 $
-
Memory - GrrCON 2015 #22$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 02:56
새로운 파일이기 때문에 imageinfo 를 해보겠습니다. Win7SP0x86 을 사용하면 될 것 같습니다. 멀웨어의 C&C 서버를 찾는 문제입니다. malfind 플러그인 을 이용하면 뭘웨어를 찾을 수 있습니다. 해당 프로세스가 멀웨어라면 C&C 서버와 통신을 하고 있을 것입니다. netscan 플러그인을 이용해서 PID 3208 을 찾아 보겠습니다. 54.84.237.92 입니다. Flag : 54.84.237.92 출처 : 디지털 포렌식 with CTF
-
Memory - GrrCON 2015 #21$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 02:55
공격자가 예약된 작업을 만들어서 스케줄링 작업과 연결된 파일의 이름을 찾는 것 같습니다. 아마도 운영체제가 윈도우 메모리 파일이기 때문에 bat 파일로 만들었을 가능성이 크다. filescan을 통해서 .bat을 검색해 보겠습니다. Users 하위의 gideon 폴더 안에 1.bat 파일이 있습니다. 해당 파일을 추출해 보겠습니다. 해당 파일을 분석 해 보겠습니다. cmd를 이용해서 w.tmp 파일을 만든 배치 프로그램이 맞습니다. Flag : 1.bat 출처 : 디지털 포렌식 with CTF
-
Memory - GrrCON 2015 #20$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 02:54
rar 아카이브에 추가한 파일명을 찾아야 합니다. cmdscan 으로 봤을때 conhost.exe 가 작업을 했는데 해당 프로세스의 PID를 확인하고, memdump를 이용해서 덤프를 떠보겠습니다. PID 값은 3048 입니다. 추출한 3048.txt 파일을 확인해서 rar파일에 파일을 추가한 부분을 찾아보겠습니다. SecretSauce1.txt SecretSauce2.txt SecretSauce3.txt 가 추가된 파일 명입니다. Flag : SecretSauce1.txt,SecretSauce2.txt,SecretSauce3.txt 출처 : 디지털 포렌식 with CTF
-
Memory - GrrCON 2015 #17$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 02:50
보안 관리자 컴퓨터로 접근해서 비밀번호를 덤프 떳다고 합니다. cmdscan을 이용해서 cmd로 어떤 작업을 했는지 확인해 보겠습니다. wce.exe 를 이용해서 w.tmp라는 파일로 내보내기 한것 같습니다. w.tmp 라는 파일을 스캔해서 추출해 보겠습니다. 0x000000003fcf2798 입니다. dumpfiles 플러그 인을 이용해서 추출까지 완료해 보겠습니다. 해당 파일을 에디터로 확인해 보겠습니다. Flag : t76fRJhS 출처 : 디지털 포렌식 with CTF
-
Memory - GrrCON 2015 #16$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 02:49
일단 원격 접근을 했다는 것을 알수 있고, 연결한 IP주소를 찾는 것이기 때문에 네트워크를 볼 필요가 있습니다. netscan 플러그인을 이용해서 확인해 보면 아래와 같이 IP와 프로그램을 알수 있습니다. mstsc.exe 라는 프로그램에 10.1.1.21 이라는 IP가 연결 되어 있는데 mstsc.exe 는 Microsoft Windows의 소프트웨어 구성 요소로 Microsoft 터미널 서비스 클러이언트 원격 관리 서비스 입니다. 그렇기 때문에 답은 10.1.1.21 입니다. Flag : 10.1.1.21 출처 : 디지털 포렌식 with CTF