[ DESCRIPTION ]
채용 담당자의 가상 PC에서 의심되는 트래픽이 감지되었다.
문제가 되는 VM의 메모리 덤프는 이미징 및 분석을 위해 네트워크로부터 제거되기 전에 캡처되었다.
채용 담당자는 이력서와 관련하여 누군가로부터 이메일을 받았다고 한다.
해당 이메일 사본이 복구되어 참조용으로 제공된다.
악성 코드의 소스를 찾아 디코딩하여 플래그를 찾자.
[ SOLVE ]
문제에서 주어진 파일은 위와 같다.
- flounder-pc-memdump.elf : 메모리 덤프 파일
- imageinfo.txt : imageinfo 플러그인 실행 결과 파일
- Resume.eml : 이메일 사본
eml 파일의 내용은 위와 같다.
이력서 봐달라는 메일인데, 링크가 첨부되어 있다.
해당 링크를 통해 감염된 것으로 추측되므로 이를 힌트로 덤프 파일 분석하면 될 것 같다.
txt 파일의 내용은 위와 같다.
imageinfo를 통해 똑같이 운영체제 식별을 해본 결과, 주어진 txt 파일과 결과가 조금 다르다. < 왜지?
무튼 일케 일케 해서 pslist, psscan, cmdline, cmdscan, consoles, netscan 등의 플러그인 결과 파일들을 만들어 준다.
netscan을 통해 eml에서 확인한 ip 검색 결과는 위와 같다.
해당 powershell.exe의 PID는 2752임을 확인했다.
pstree의 결과, explorer.exe에서 파생된 powershell.exe의 하위 프로세스임을 확인 가능했다.
부모 프로세스의 PID는 496이다.
우선, PID 2752(powershell.exe) 프로세스에 대해 메모리 덤프를 하자.
경로에 dumps 디렉토리 생성 후, 명령어를 실행하면 된다.
생성된 2752.dmp 파일을 확인해보면, 양이 방대하고 식별이 어렵기 때문에 strings로 추출했다.
strings 추출 결과에서 IP 검색 결과, 플래그를 발견할 수 있었다.
[ 요약 ]
1. 플러그인 결과에서 eml 파일의 악성 url 서치
2. PID 확인
3. 해당 프로세스에 대해 메모리 덤프
4. strings 추출 후 url 등으로 분석
'Forensic > wargame & ctf' 카테고리의 다른 글
| [ctf-d] GrrCON 2015 #5 (0) | 2022.09.21 |
|---|---|
| [ctf-d] 윈도우 작업 관리자에서 우클릭... (0) | 2022.09.03 |
| [ctf-d] 이 파일에서 플래그를 찾아라! / 사진 속에서 빨간색이... (0) | 2022.08.23 |
| [ctf-d] GrrCON 2015 #3 #4 (0) | 2022.08.16 |
| [ctf-d] 파일에서 이미지 파일을 찾아라! (0) | 2022.08.16 |
