'-')!b

[ DESCRIPTION ] 채용 담당자의 가상 PC에서 의심되는 트래픽이 감지되었다. 문제가 되는 VM의 메모리 덤프는 이미징 및 분석을 위해 네트워크로부터 제거되기 전에 캡처되었다. 채용 담당자는 이력서와 관련하여 누군가로부터 이메일을 받았다고 한다. 해당 이메일 사본이 복구되어 참조용으로 제공된다. 악성 코드의 소스를 찾아 디코딩하여 플래그를 찾자. [ SOLVE ] 문제에서 주어진 파일은 위와 같다. flounder-pc-memdump.elf : 메모리 덤프 파일 imageinfo.txt : imageinfo 플러그인 실행 결과 파일 Resume.eml : 이메일 사본 eml 파일의 내용은 위와 같다. 이력서 봐달라는 메일인데, 링크가 첨부되어 있다. 해당 링크를 통해 감염된 것으로 추측되므로 이..

이전 글 (#3, #4) https://ukkiyeon.tistory.com/203?category=1058612 재부팅 후에도 지속성을 유지하는 데 사용되는 레지스트리 키? **Run and RunOnce Registry keys** 이 레지스트리 키에 자동실행을 원하는 키 값을 작성하여 등록하면, 윈도우즈 OS에서 자동 실행이 가능하다. 악성코드는 이를 통해 침입 시스템에서의 생명주기를 늘려 악의적 행위를 지속 가능하다. --- Run and RunOnce Registry keys 종류 1) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 2) HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre..

DMP 파일을 확인할 수 있다. DMP는 윈도우즈 메모리 덤프라고 함. 근데 왜 메모리가 아니라 디스크 문제에 있지 ..? 그리고 조금 찾아봤는데 strings로 플래그를 바로 찾을 수 있다고 한 . 다 .. 그래서 HxD로 열면 바로 찾을 수 있 . 다 .. +) 덤프 파일 생성 방법 (.DMP) 1. 작업관리자 실행 2. 우클릭 - 덤프 파일 만들기 3. DMP 파일이 생성되었다. 해결!

파일 크기가 너무 커서 원본이 여기에 업로드 되지 않는다 .. binwalk로 분석해본 결과, png랑 zlib이 있었는데 경험상 zlib에는 뭐가 없던 경우가 많았지만 그래도 한 번 살펴본 결과 역시 뭐가 없었다. 찾아보니 png를 마지막에 압축할 때 zlib이 사용된다고 한다. HxD로 살펴봐도 딱히 눈에 띄는 부분은 없었다. 스테가노그래피 툴도 사용해봤지만 뭐가 없었다. 애초에 용량이 커서 .. 확인도 어려웠다. 그럼 png 구조적으로 문제가 있는 걸까 싶어 알아보았다. png 파일은 시그니처와 여러 청크들로 구성된다. 헤더 시그니처 (8B) : 89 50 4E 47 0D 0A 이후에 바로 IHDR 청크가 온다. Image Header라는 의미로, 이미지에 대한 기본 정보가 존재하며 상세값은 아래와..

이전 문제 풀이 (#1, #2) https://ukkiyeon.tistory.com/185 [ctf-d] GrrCon 2015 #1 #2 Volatility 명령어 정리 imageinfo 메모리의 운영체제를 식별 pslist 시간 순서대로 출력 psscan 숨김 프로세스를 볼 수 있음 pstree PID, PPID 기반으로 구조화해서 보여줌 psxview pslist, psscan을 한 눈에 볼.. ukkiyeon.tistory.com iexplore.exe에서 AnyConnectInstaller.exe를 다운받은 것으로 보인다고 했으니까, iexplore.exe를 추가 분석해보자. (procdump) pstree.log를 확인해보면, iexplore.exe의 PID는 2996 procdump : 프로세..

MrFusion.gif 확인 후 HxD로 열어봄. gif 파일의 헤더 시그니처는 47 49 46 38 37 61 / 47 49 46 38 39 61 이고, 푸터 시그니처는 00 3B 이다. 근데 마지막 부분에서 푸터 시그니처가 아니라, JPEG 푸터 시그니처를 확인할 수 있었다. binwalk 결과, GIF, PNG, Zlib, JPEG, bitmap의 여러 파일들로 구성되어 있었다. binwalk --dd='.*' 파일명 명령어를 통해 모든 파일을 추출했다. 추출된 파일들을 확인해봤는데, 여러 이미지들이 나와서 조합 후 SECCON{0CT2120150728} --> 아니었음. 다시.. 눈으로 대충 조합해서 그런가 싶어 헥스값 순서대로 그림만 천천히 배치해봄. GIF --> SECCON{ 0x1B1F (..

steg.png 확인 Ghost in wires는 무슨 해커 추격 자서전(?)이라고 함.. 오..호.. 시그니처는 멀쩡했다. steg.png니까 스테가노그래피같다 https://stegonline.georgeom.net/upload StegOnline stegonline.georgeom.net 사용법을 몰라서 아무거나 누르다가 LSB Half 눌렀더니 플래그를 확인할 수 있었다. 해결!

문제에서 주어진 stego_50.jpg 확인 hxd로 시그니처를 먼저 확인해보았다. 헤더와 푸터 모두 있었지만, 푸터 시그니처 FF D9 이후로 ZIP 파일의 헤더 시그니처 50 4B 03 04와 푸터 시그니처 50 4B 05 06을 확인할 수 있었다. 이후로는 알 수 없는 문자열도 볼 수 있었다. steghide~~ 라는 수상한 부분도 있어서 검색해보니, steghide라고 이미지에 데이터를 숨기거나 추출하는 툴이라고 한다. jpg만 지원한다고 하는데, 이걸 사용한 것으로 생각되었다. steghide를 다운받고, steghide --help로 메뉴얼을 볼 수 있는데, 추출하려면 steghide extract -sf ~.jpg를 사용하면 된다고 한다. 시도해봤지만, passphrase가 있어야 하는 것 ..

Volatility 명령어 정리 imageinfo 메모리의 운영체제를 식별 pslist 시간 순서대로 출력 psscan 숨김 프로세스를 볼 수 있음 pstree PID, PPID 기반으로 구조화해서 보여줌 psxview pslist, psscan을 한 눈에 볼 수 있음, 숨김 프로세스 찾는 데 사용 cmdline 프로세스가 실행될 때 인자값 cmdscan 콘솔에 입력한 값들을 실제로 볼 수 있음 consoles 콘솔에서 입력 및 출력한 값들을 실제로 볼 수 있음 filescan 메모리 내에 존재하는 모든 파일에 대한 정보를 다 출력함. 오래걸림. dumpfiles 프로세스의 메모리 덤프 추출 -> strings로 변환해서 키워드 검색 procdump 프로세스의 exe 파일 추출 connections (x..

문제에서 위와 같은 desktop_capture.png를 확인할 수 있다. 으잉 HxD에 넣어봤는데 별다른건 없었고, 바탕화면 캡처본에서 비밀메시지 읽으라고 해서 잘 살펴봤는데 그림판에 HxD 캡처본이랑 채우기 기능 선택되어 있고 유치원생도 풀 수 있다고 해서 똑같이 그림판을 사용해야하나 싶었음 그래서 HxD 캡처본을 그림판에서 채우기 기능으로 채워봤는데 .. 엥 그냥 주어진 캡처본에 적용하면 되는 거였다 ... 해결 ~