문제
풀이
문제에서 '멀웨어는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만 실행되도록 한다.'가 멀웨어 Mutex를 말한다고 한다.
Mutex는 변수와 같은 리소스에 대한 동시 엑세스를 피하기 위해 일반적으로 사용되는 프로그램이다. 또한 일반적으로 동일한 악성 프로그램의 다른 인스턴트에 의한 시스템 감염을 방지하기 위해 악성 프로그램 작성자에 의해 사용된다.
volatility의 handles 플러그인을 사용하였다. 프로세스에 열린 핸들을 표시하려면 이 플러그인을 사용해야 한다. 이는 파일, 레지스트리 키, 뮤텍스, 이벤트, 윈도우 스테이션, 스레드 및 기타 모든 유형의 보안 실행 개체에 적용된다.
Mutant 타입만 확인하기 위해 -t 옵션을 사용하였다.
vol.py -f <분석할 파일 이름> --profile=<프로파일> handles -p <PID> -t mutant
인젝션 된 프로세스의 PID를 분석해보면 'fsociety0.dat'라는 파일을 찾을 수 있다. 이것이 멀웨어가 사용하는 고유 이름이다.
참조
https://cybersecurity.att.com/blogs/labs-research/malware-exploring-mutex-objects
https://github.com/volatilityfoundation/volatility/wiki/Command-Reference#handles
'CTF > ctf-d' 카테고리의 다른 글
| [Network] DefCoN#21 #7 (0) | 2022.03.06 |
|---|---|
| [Network] DefCoN#21 #6 (0) | 2022.03.06 |
| [Memory] GrrCON2015 #6 (0) | 2022.03.02 |
| [Memory] GrrCON2015 #5 (0) | 2022.03.02 |
| [Memory] GrrCON 2015 #4 (0) | 2022.02.14 |
