Memory - GrrCON 2015 #26

 

공격자가 교환 서버를 제어하는데 사용한 파일의 이름을 찾는 문제 이기 때문에 프로세스를 확인해 보겠습니다.

 

w3wp.exe프로세스가 엄청 많이 존재 합니다.

그리고 w3wp.exe 하위에 cmd.exe 프로세스가 많이 돌고 있습니다.

 

그렇기 때문에 하위 프로세스인 cmd.exe 의  PID값인 9248을 dump를 떠보겠습니다.

 

strings 명령어로 dump파일에서 추출해보겠습니다.

 

키 포맷인 .aspx 을 보면 .aspx 를 검색해 보겠습니다.

 

error1.aspx 라는 코드가 있습니다.

 

파일의 내용이 난독화 되어있는데 해당 값을 난독화 해제 해보겠습니다

Site :  https://www.strictly-software.com/unpacker#unpacker

 

난독화 해제를 진행해 보니 base64 인코딩 문자열이 눈에 보입니다.

base64 decoder :  https://www.base64decode.org/

 

 

 코드를 보면 시스템의 공유 폴더에 접근하기 위해서 net use 명령어를 사용한 흔적을 확인 할 수 있습니다.

 

Flag : error1.aspx

 

출처 : 디지털 포렌식 with CTF