[CTF-D/Memory] GrrCON 2015 #1

문제 : vmss 파일에서 수상한 이메일을 보낸 전자 메일 주소를 찾아라.

 

 

먼저, vmss 파일이 뭔지 알아보자.

vmss 확장자를 지닌 파일은 vmware 가상머신에서 일시 중단한 상태의 데이터이다.

따라서, 이 메모리 파일을 분석하기 위해 volatility를 이용합시다. 

 

 

volatility로 imageinfo 플러그인을 통해 Profile을 얻었고, 일단 어떤 프로세스를 실행하였는지 살펴보기 위해 pstree 플러그인을 사용하자.

 

 

Teamviewer.exe 혹은 다양한 시스템 프로세스가 나오는 와중에, 이메일과 관련된 프로세스 발견 !! 

(Outlook이 아마 내가 알기론 마이크로소프트 계정으로 알고 있음)

 

 

해당 프로세스를 분석하기 위해 memdump로 따로 뺍시다! 사용 시 프로세스 PID 필요합니당~

3196.dmp로 추출되었다.

 

 

이후 dump file을 확인하기 위해서 string file로 바꿔주고, sublime을 통해서 살펴봅시다.

 

 

80만 줄이 넘는 txt에서 맨 처음에는 '@'를 검색했더니 8만개가 나와가지고......

어떻게 찾지 고민하다가 가장 많이 사용되는 @gmail.com을 쳤더니 이메일 발견 !

일단 의심 이메일로 간주하고, 확실한 증거를 잡기 위해 더 검색해보았다.

 

 

'th3wh1t3r0s3@gmail.com'를 검색하니 메일 본문을 찾을 수 있었다.

vpn software를 업데이트 했다고 다운로드 받으라는 수상한 내용이다. 잡았다 이놈!

 

 

끝!

 

 

🚫 flag는 🚫

th3wh1t3r0s3@gmail.com