Digital Forensic
-
Memory - GrrCON 2015 #26$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 03:06
공격자가 교환 서버를 제어하는데 사용한 파일의 이름을 찾는 문제 이기 때문에 프로세스를 확인해 보겠습니다. w3wp.exe프로세스가 엄청 많이 존재 합니다. 그리고 w3wp.exe 하위에 cmd.exe 프로세스가 많이 돌고 있습니다. 그렇기 때문에 하위 프로세스인 cmd.exe 의 PID값인 9248을 dump를 떠보겠습니다. strings 명령어로 dump파일에서 추출해보겠습니다. 키 포맷인 .aspx 을 보면 .aspx 를 검색해 보겠습니다. error1.aspx 라는 코드가 있습니다. 파일의 내용이 난독화 되어있는데 해당 값을 난독화 해제 해보겠습니다 Site : https://www.strictly-software.com/unpacker#unpacker 난독화 해제를 진행해 보니 base64 인코..
-
Memory - GrrCON 2015 #24$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 03:04
POS에서 화이트 리스트로 정의된 악성코드를 물어보는 문제 입니다. 일단 악성코드 덤프떠둔것을 이용해서 문자열을 탐색해 보겠습니다. 에디터로 열어서 확인을 해보면 아래와 같습니다. 악성코드는 .exe 확장자를 가지고 있을 가능성이 크기 때문에 검색을 해보았는데 맨위의 실행파일을 제외하고 나머지는 프로세스에서 본 실행 파일들입니다. 화이트리스트로 정의된 악성코드는 allsafe_protector.exe 입니다. Flag : allsafe_protector.exe 출처 : 디지털 포렌식 with CTF
-
Memory - GrrCON 2015 #22$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 02:56
새로운 파일이기 때문에 imageinfo 를 해보겠습니다. Win7SP0x86 을 사용하면 될 것 같습니다. 멀웨어의 C&C 서버를 찾는 문제입니다. malfind 플러그인 을 이용하면 뭘웨어를 찾을 수 있습니다. 해당 프로세스가 멀웨어라면 C&C 서버와 통신을 하고 있을 것입니다. netscan 플러그인을 이용해서 PID 3208 을 찾아 보겠습니다. 54.84.237.92 입니다. Flag : 54.84.237.92 출처 : 디지털 포렌식 with CTF
-
Memory - GrrCON 2015 #21$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 02:55
공격자가 예약된 작업을 만들어서 스케줄링 작업과 연결된 파일의 이름을 찾는 것 같습니다. 아마도 운영체제가 윈도우 메모리 파일이기 때문에 bat 파일로 만들었을 가능성이 크다. filescan을 통해서 .bat을 검색해 보겠습니다. Users 하위의 gideon 폴더 안에 1.bat 파일이 있습니다. 해당 파일을 추출해 보겠습니다. 해당 파일을 분석 해 보겠습니다. cmd를 이용해서 w.tmp 파일을 만든 배치 프로그램이 맞습니다. Flag : 1.bat 출처 : 디지털 포렌식 with CTF
-
Memory - GrrCON 2015 #20$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2020. 2. 24. 02:54
rar 아카이브에 추가한 파일명을 찾아야 합니다. cmdscan 으로 봤을때 conhost.exe 가 작업을 했는데 해당 프로세스의 PID를 확인하고, memdump를 이용해서 덤프를 떠보겠습니다. PID 값은 3048 입니다. 추출한 3048.txt 파일을 확인해서 rar파일에 파일을 추가한 부분을 찾아보겠습니다. SecretSauce1.txt SecretSauce2.txt SecretSauce3.txt 가 추가된 파일 명입니다. Flag : SecretSauce1.txt,SecretSauce2.txt,SecretSauce3.txt 출처 : 디지털 포렌식 with CTF