$ 포렌식 $
-
Memory - GrrCON 2015 #13$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 18:36
nbt.txt 라는 파일로 저장을 했다고 하니 해당 파일을 dump떠서 내용을 확인해 보면 될것 같습니다. 하지만.. nbt.txt 라는 파일이 없다고 출력이 됩니다. 해당 GrrCON 2015 문제를 살펴 보니 nbs.txt 인것으로 확인이 됩니다... 오탈자 인것 같습니다. 풀이하시는 분들은 참고해 주시면 될것 같습니다. nbs.txt 로 검색을 해보면 아래와 같습니다. 해당 파일을 dump 떠보겠습니다. 파일을 열어보면 아래와 같이 IP가 적혀 있습니다. Flag : 10.1.1.2 출처 : 디지털 포렌식 with CTF
-
Memory - GrrCON 2015 #11$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 18:34
문제를 확인해 보면 평문으로 암호를 저장하는데 저번 문제에서 언급했던 옮겼던 툴 3개중에서 하나를사용해서 dump를 했다고 합니다. 그렇다면 해당 3개의 실행 프로그램이 어떤 역할을 하는 프로그램인지 확인해 보겠습니다. 위의 3가지중 해당 문제에서 평문 암호와 관련된 이야기가 언급 되어 있기 때문에 wce.exe 프로그램과 관련이 있다고 할 수 있습니다. wce.exe 프로그램은 아래와 같이 사용하게 됩니다. 그렇기 때문에 cmd로 입력을 했을 가능성이 매우 큽니다. volatility 플러그인 중에서 cmdscan 을 이용해 보겠습니다. wce.exe -w > w.tmp 라는 명령어를 이용한것으로 보아 wce.exe 의 결과가 w.tmp에 저장 되어 있다는 것을 알 수 있습니다. 0x000000003e..
-
Memory - GrrCON 2015 #10$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 18:33
PC를 손상 시키기 위해 일부 도구를 옮겼다고 하면서 해당 도구의 이름을 알파벳순으로 나열하고, g로 시작하는 실행파일은 제외 시키는 문제입니다. 이번 문제에서도 악성코드를 이용한 C&C 공격과 연관이 있어 보이기 때문에 iexplore.exe 의 dump를 string으로 추출해서 .exe 가 붙은 문자열을 찾아 보겠습니다. txt 파일에서 .exe 파일을 찾으면 아래와 같이 수상한 파일들이 존재 합니다. g로 시작하는 getlsasrvaddr.exe 를 제외하고 Rar.exe , wce.exe, nbtscan.exe 가 답이지만 알파벳 순으로 나열해야 합니다. Flag : nbtscan.exe, Rar.exe, wce.exe 출처 : 디지털 포렌식 with CTF
-
Memory - GrrCON 2015 #8$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 17:56
해당 문제는 거의 100% 게싱 수준의 문제라고 생각이 된다. Target1-1dd8701f.vmss 파일의 이곳저곳을 살펴 보던중 NTFS 파일 시스템에서 파일의 메타 데이터를 저장하는 파일인 MFT에서 해답을 찾을 수 있었습니다. Volatility 에는 mftparser 라는 플러그인이 존재 하기 때문에 방대한 데이터를 mftparser_data 라는 이름으로 내보내기를 했습니다. 그리고 해커의 정보가 있다고 하는데 .txt 같은 파일 보다는 사용자 명으로 있을거 같다는 생각이 들어서 Users\ 를 검색해 봤습니다. 그중 좀 수상한 이름을 발견했습니다. zerocool 이란 Hackers 라는 영화에서 주인공이 사용하는 닉네임 입니다. Flag : Hackers 출처 : 디지털 포렌식 with CTF
-
Memory - GrrCON 2015 #7$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 17:55
문제의 설명을 잘 살펴 보면 악성코드는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만을 실행 하도록 하는데, 해당 파일에서의 멀웨어가 사용하는 고유 이름(고유한 값)을 찾는 문제 같습니다. 여기서 고유한 값이나 이름을 사용해서 하나만을 실행하도록 하는 것을 Malware Mutex 라고도 이야기 합니다. Malware Mutex 관련 자세한 영문설명 블로그 주소는 아래와 같습니다. Malware Mutex : https://cybersecurity.att.com/blogs/labs-research/malware-exploring-mutex-objects Malware Mutex를 간단하게 이야기를 하면 뮤텍스는 변수와 같은 리소스에 대한 동시 액세스를 피하기 위해 일반적으로 사용하는..
-
Memory - GrrCON 2015 #6$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 1. 3. 17:53
악성코드가 C&C 서버에 재인증으로 사용하는 비밀번호를 찾는 문제입니다. 먼저 C&C 서버가 어떤 역할을 하는지에 대해 먼저 알아볼 필요가 있습니다. 이전 문제들 에서 해당 악성코드 파일에 적용되어진 상황과 C&C 서버를 사용한다는 점을 고려해 봤을때 해당 악성코드는 아래와 같이 동작할것 입니다. 각각의 개인 PC를 좀비PC로 감염시키는 역할을 프로세스 인젝션 된 프로세스인 iexplore.exe이고, 감염된 좀비PC로 부터 정보를 수집하는 역할을 C&C 서버가 한다는 것을 알수 있습니다. 그렇기 때문에 iexplore.exe 의 memdump 떠서 dmp파일에서 비밀번호를 찾아 보겠습니다. 그리고 strings 명령어로 txt파일을 추출 해보겠습니다. 컴퓨터가 재부팅되고, 바로 레지스트리키가 실행이 된..