CTF/ctf-d (19) 썸네일형 리스트형 [Memory] GrrCON2015 #8 문제 풀이 해커의 정보가 존재한다고 하였다. 아마 계정의 이름이 해커의 이름이 아닐까 생각하였다. 계정의 정보는 MFT에 담겨져 있다. MFT는 Master File Table로 볼륨에 존재하는 모든 파일과 디렉토리에 대한 정보를 가진 테이블이다. volatility에서 mft를 찾아보기 위해서는 mftparser라는 플러그인을 사용하면 된다. vol.py -f vmss 파일> --profile= mftparser flag.txt 파일에 해당 플러그인으로 출력되는 정보를 담았다. flag.txt 파일을 열면 아래와 같이 보인다. 계정 정보니까 'USER'를 키워드로 검색해보았다. 계속 검색해보면 'zerocool'이라는 이름이 나온다. 아마도 이것이 해커의 이름일 것이다. 이후 구글링해보면 아래와 같이 .. [Memory] GrrCON2015 #9 문제 풀이 관리자 계정의 NTLM 암호 해시를 찾는 문제이다 여기서, NTLM이란 사용자에게 인증, 무결성 및 기밀성을 제공하기 위한 Microsoft 보안 프로토콜 제품군이다.(위키피디아) volatility에서 passowrd를 얻을 수 있는 플러그인은 'hashdump'이다 vol.py -f --profile= hashdump 'Administrator'와 'Guest', 'front-desk' 계정이 보인다. 결과적으로 관리자 계정의 암호는 'aad3b435b51404eeaad3b435b51404ee:79402b7671c317877b8b954b3311fa82' 이다. [Network] DefCoN#21 #5 풀이 문제를 보면 핸드폰을 발견하였고, 분석한 파일을 첨부파일로 주었다. log.txt 파일을 열어보면 내용을 보면 핸드폰은 android이고, vendor는 HUAWEI라고 적혀있다. 이후, dump 폴더를 분석해보면, 'HWUserData' 폴더가 있다. HUAWEI 핸드폰을 사용하는 것을 위에서 확인했으므로, 핸드폰 사용자의 정보들이 해당 폴더에 있을 확률이 크다. 해당 폴더 안에 'DCIM' 폴더가 존재하였다. 이 폴더는 사진, 동영상이 저장되는 폴더이다. 폴더 안에는 아래의 사진이 있고, 사진 속 남자는 Gregory로 추측이 된다. 그래서 답은 'DEAD'이다. [Network] DefCoN#21 #7 문제 풀이 해당 pcap 파일을 NetworkMiner에서 열어보았다. 주고받은 파일 내역을 살펴보던 중, 확장자가 JavaScript라는 수상한 파일이 존재하였다. 'bankofamerica.com'이라는 사이트 이름과 비슷한 'bankofamerica.tt.omtrdc.net'이라는 이름의 사이트였다. 'bankofamerica.com'은 실제로 존재하는 사이트였고, 'bankofamerica.tt.omtrdc.net'은 존재하지 않았다. 와이어 샤크로도 열어서 'http.host==bankofamerica.tt.omtrdc.net'로 검색을 해서 TCP Stream으로 열어보면 Host가 'bankofamerica.tt.omtrdc.net'임을 확인할 수 있다. 그래서 악의적인 웹페이지의 URL은 .. [Network] DefCoN#21 #6 문제 풀이 NetworkMiner로 해당 pcap 파일을 열어보았다. 주소들이 여러 보엿는데 'paimia.com'이라는 주소는 검색해도 어느 사이트인지 나오지 않았다. 해당 파일들을 virus total로 검사해보았다. 이 중, 200912-paimia-&a.html에서 멀웨어가 검출되었다. 따라서 악성 페이로드의 용량은 3113Byte임을 알 수 있다. [Memory] GrrCON2015 #7 문제 풀이 문제에서 '멀웨어는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만 실행되도록 한다.'가 멀웨어 Mutex를 말한다고 한다. Mutex는 변수와 같은 리소스에 대한 동시 엑세스를 피하기 위해 일반적으로 사용되는 프로그램이다. 또한 일반적으로 동일한 악성 프로그램의 다른 인스턴트에 의한 시스템 감염을 방지하기 위해 악성 프로그램 작성자에 의해 사용된다. volatility의 handles 플러그인을 사용하였다. 프로세스에 열린 핸들을 표시하려면 이 플러그인을 사용해야 한다. 이는 파일, 레지스트리 키, 뮤텍스, 이벤트, 윈도우 스테이션, 스레드 및 기타 모든 유형의 보안 실행 개체에 적용된다. Mutant 타입만 확인하기 위해 -t 옵션을 사용하였다. vol.py -f --p.. [Memory] GrrCON2015 #6 문제 풀이 C&C 서버란 일반적으로 감염된 좀비 PC가 해커가 원하는 공격을 수행하도록 원격지에서 명령을 내리거나 악성코드를 제어하는 서버를 일컫는다. 앞선 문제에서 공격자의 악성 코드는 프로세스 인젝션을 사용하였다고 말했다. 인젝션된 프로세스는 'iexplore.exe'였으므로 해당 프로세스의 dump 파일을 분석해보면 C&C 서버에 재인증시 사용하는 비밀번호를 얻을 수 있을 것이다. vol.py -f --profile= -memdump -p -D ./ dump 파일 추출 후 txt 파일로 변환하였다. 앞선 문제에서 재부팅 후에도 지속성을 유지한다고 하였으므로 해당 레지스트리 key 값 근처에 재인증 시 필요한 비밀번호가 적혀져 있을 것으로 추측할 수 있다. 'MrRobot' 단어 근처에 대소문자 구분.. [Memory] GrrCON2015 #5 문제 풀이 재부팅 후에도 계속 실행과 관련된 레지스트리는 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' 입니다. Volatility에서 레지스트리 관련 플러그인 printkey를 사용하여 해당 레지스트리의 정보들을 찾아보았습니다. vol.py -f --profile= printkey -K 앞선 문제에서의 공격자가 첨부한 파일의 이름이 'AnyConnectInstaller.exe' 였으므로 해당 파일의 경로가 적혀져 있는 곳의 key 이름이 답이 된다. 이전 1 2 3 다음
