GrrCON 2015 #3
-
Memory - GrrCON 2015 #3$ 포렌식 $/$ 디지털 포렌식 with CTF $ 2019. 12. 20. 21:48
공격자는 피싱에 성공을 한것으로 보아 앞서 언급한 AnyConnectInstaller.exe를 이용해서 공격을 한것으로 추측을 할 수 있다. 아래의 filescan 플러그인을 이용해서 해당 파일의 경로를 좀 찾아 보겠습니다. 총 6가지의 파일이 출력이 되는데 0x000000003df1cf00와 dumpfiles 플러그인을 이용해서 파일을 복구해 보겠습니다. dumpfiles 플러그인을 이용하면 올바르게 복구가 됬을때 dat 파일과 img 파일이 2개가 나오는데 두개다 안나오면 복구가 재대로 안된 상태 입니다. ↑ 복구가 완료된 상태의 파일 .img 파일을 바이러스인지 확인해 주는 VirusTotal을 이용해 보겠습니다. 넣어보니 악성코드라는 것은 확실 했고, Xtrat 라는 문자열이 많았습니다. 해당 문..