전체 글 (47) 썸네일형 리스트형 [Memory] GrrCON2015 #9 문제 풀이 관리자 계정의 NTLM 암호 해시를 찾는 문제이다 여기서, NTLM이란 사용자에게 인증, 무결성 및 기밀성을 제공하기 위한 Microsoft 보안 프로토콜 제품군이다.(위키피디아) volatility에서 passowrd를 얻을 수 있는 플러그인은 'hashdump'이다 vol.py -f --profile= hashdump 'Administrator'와 'Guest', 'front-desk' 계정이 보인다. 결과적으로 관리자 계정의 암호는 'aad3b435b51404eeaad3b435b51404ee:79402b7671c317877b8b954b3311fa82' 이다. [Network] DefCoN#21 #5 풀이 문제를 보면 핸드폰을 발견하였고, 분석한 파일을 첨부파일로 주었다. log.txt 파일을 열어보면 내용을 보면 핸드폰은 android이고, vendor는 HUAWEI라고 적혀있다. 이후, dump 폴더를 분석해보면, 'HWUserData' 폴더가 있다. HUAWEI 핸드폰을 사용하는 것을 위에서 확인했으므로, 핸드폰 사용자의 정보들이 해당 폴더에 있을 확률이 크다. 해당 폴더 안에 'DCIM' 폴더가 존재하였다. 이 폴더는 사진, 동영상이 저장되는 폴더이다. 폴더 안에는 아래의 사진이 있고, 사진 속 남자는 Gregory로 추측이 된다. 그래서 답은 'DEAD'이다. [Network] DefCoN#21 #7 문제 풀이 해당 pcap 파일을 NetworkMiner에서 열어보았다. 주고받은 파일 내역을 살펴보던 중, 확장자가 JavaScript라는 수상한 파일이 존재하였다. 'bankofamerica.com'이라는 사이트 이름과 비슷한 'bankofamerica.tt.omtrdc.net'이라는 이름의 사이트였다. 'bankofamerica.com'은 실제로 존재하는 사이트였고, 'bankofamerica.tt.omtrdc.net'은 존재하지 않았다. 와이어 샤크로도 열어서 'http.host==bankofamerica.tt.omtrdc.net'로 검색을 해서 TCP Stream으로 열어보면 Host가 'bankofamerica.tt.omtrdc.net'임을 확인할 수 있다. 그래서 악의적인 웹페이지의 URL은 .. [Network] DefCoN#21 #6 문제 풀이 NetworkMiner로 해당 pcap 파일을 열어보았다. 주소들이 여러 보엿는데 'paimia.com'이라는 주소는 검색해도 어느 사이트인지 나오지 않았다. 해당 파일들을 virus total로 검사해보았다. 이 중, 200912-paimia-&a.html에서 멀웨어가 검출되었다. 따라서 악성 페이로드의 용량은 3113Byte임을 알 수 있다. [Memory] GrrCON2015 #7 문제 풀이 문제에서 '멀웨어는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만 실행되도록 한다.'가 멀웨어 Mutex를 말한다고 한다. Mutex는 변수와 같은 리소스에 대한 동시 엑세스를 피하기 위해 일반적으로 사용되는 프로그램이다. 또한 일반적으로 동일한 악성 프로그램의 다른 인스턴트에 의한 시스템 감염을 방지하기 위해 악성 프로그램 작성자에 의해 사용된다. volatility의 handles 플러그인을 사용하였다. 프로세스에 열린 핸들을 표시하려면 이 플러그인을 사용해야 한다. 이는 파일, 레지스트리 키, 뮤텍스, 이벤트, 윈도우 스테이션, 스레드 및 기타 모든 유형의 보안 실행 개체에 적용된다. Mutant 타입만 확인하기 위해 -t 옵션을 사용하였다. vol.py -f --p.. [Memory] GrrCON2015 #6 문제 풀이 C&C 서버란 일반적으로 감염된 좀비 PC가 해커가 원하는 공격을 수행하도록 원격지에서 명령을 내리거나 악성코드를 제어하는 서버를 일컫는다. 앞선 문제에서 공격자의 악성 코드는 프로세스 인젝션을 사용하였다고 말했다. 인젝션된 프로세스는 'iexplore.exe'였으므로 해당 프로세스의 dump 파일을 분석해보면 C&C 서버에 재인증시 사용하는 비밀번호를 얻을 수 있을 것이다. vol.py -f --profile= -memdump -p -D ./ dump 파일 추출 후 txt 파일로 변환하였다. 앞선 문제에서 재부팅 후에도 지속성을 유지한다고 하였으므로 해당 레지스트리 key 값 근처에 재인증 시 필요한 비밀번호가 적혀져 있을 것으로 추측할 수 있다. 'MrRobot' 단어 근처에 대소문자 구분.. [Memory] GrrCON2015 #5 문제 풀이 재부팅 후에도 계속 실행과 관련된 레지스트리는 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 입니다. Volatility에서 레지스트리 관련 플러그인 printkey를 사용하여 해당 레지스트리의 정보들을 찾아보았습니다. vol.py -f --profile= printkey -K 앞선 문제에서의 공격자가 첨부한 파일의 이름이 'AnyConnectInstaller.exe' 였으므로 해당 파일의 경로가 적혀져 있는 곳의 key 이름이 답이 된다. [Memory] GrrCON 2015 #4 문제 풀이 해당 파일의 프로세스 구조를 살펴보았다. 살펴보다보니 아래와 같이 'iexlpore.exe' 하위에 'cmd.exe'가 실행된 모습을 볼 수 있다. 이를 통해 ie에 cmd 명령어를 이용해 악성 코드를 인젝션 한 것이라 생각하였다. 그래서 인젝션된 프로세스의 PID는 2984임을 알 수 있다. 프로세스 인젝션 공격(DDL Injection)이란? 다른 프로세스의 주소 공간 내에서 DDL을 강제로 로드시킴으로서 코드를 실행시키는 기술이다. DDL 인젝션은 외부 프로그램을 통해 다른 프로그램에 저작자가 의도하거나 예상하지 않은 영향을 미치기 위해 사용된다. 예를 들면 삽입된 코드는 시스템 함수 호출을 후킹하거나 또는 보통 방식으로는 읽을 수 없는 패스워드 텍스트 박스의 내용을 읽을 수 잇다. 임의.. 이전 1 2 3 4 5 6 다음
