Memory - GrrCON 2015 #3

ws1004 2019. 12. 20. 21:48

공격자는 피싱에 성공을 한것으로 보아 앞서 언급한 AnyConnectInstaller.exe를 이용해서 공격을 한것으로 추측을 할 수 있다.

아래의 filescan 플러그인을 이용해서 해당 파일의 경로를 좀 찾아 보겠습니다.

총 6가지의 파일이 출력이 되는데 0x000000003df1cf00와 dumpfiles 플러그인을 이용해서 파일을 복구해 보겠습니다.

dumpfiles 플러그인을 이용하면 올바르게 복구가 됬을때 dat 파일과 img 파일이 2개가 나오는데 두개다 안나오면 복구가 재대로 안된 상태 입니다.

↑ 복구가 완료된 상태의 파일

.img 파일을 바이러스인지 확인해 주는 VirusTotal을 이용해 보겠습니다.

넣어보니 악성코드라는 것은 확실 했고, Xtrat 라는 문자열이 많았습니다.

해당 문자열을 검색해 보면 Full Name이 XtremeRAT 라는 것을 알 수 있습니다.

Flag : XtremeRAT