문제
풀이
C&C 서버란 일반적으로 감염된 좀비 PC가 해커가 원하는 공격을 수행하도록 원격지에서 명령을 내리거나 악성코드를 제어하는 서버를 일컫는다.
앞선 문제에서 공격자의 악성 코드는 프로세스 인젝션을 사용하였다고 말했다. 인젝션된 프로세스는 'iexplore.exe'였으므로 해당 프로세스의 dump 파일을 분석해보면 C&C 서버에 재인증시 사용하는 비밀번호를 얻을 수 있을 것이다.
vol.py -f <분석할 파일 이름> --profile=<프로파일> -memdump -p <PID> -D ./
dump 파일 추출 후 txt 파일로 변환하였다. 앞선 문제에서 재부팅 후에도 지속성을 유지한다고 하였으므로 해당 레지스트리 key 값 근처에 재인증 시 필요한 비밀번호가 적혀져 있을 것으로 추측할 수 있다.
'MrRobot' 단어 근처에 대소문자 구분 가능한 단어가 'Xtreme'과 'GrrCon2015'가 있다. 'Xtreme'는 악성코드 명이므로 'GrrCon2015'가 비밀번호이다.
'CTF > ctf-d' 카테고리의 다른 글
| [Network] DefCoN#21 #6 (0) | 2022.03.06 |
|---|---|
| [Memory] GrrCON2015 #7 (0) | 2022.03.02 |
| [Memory] GrrCON2015 #5 (0) | 2022.03.02 |
| [Memory] GrrCON 2015 #4 (0) | 2022.02.14 |
| [Memory] GrrCON 2015 #2 (0) | 2022.02.14 |
