ssoL2 TISTORY

[CTF-D/Memory] GrrCON 2015 #3 본문

challenge/forensic

[CTF-D/Memory] GrrCON 2015 #3

ssoL2 2021. 5. 20. 20:15

문제 : 피싱을 성공하게 한 악성코드의 이름을 찾아라!!

 

 

피싱이라는 단어부터 집고 갑시다.

 

피싱(phishing)이란 이메일 또는 메신저를 사용해서 신뢰할 만한 사람이 보낸 메시지인 것처럼 가정해서 개인정보를 부정하게 얻으려는 사이버 범죄이다.

 

그러면, 이전 문제에서 얻은 수상한 파일에 악성코드가 있음을 유추할 수 있다.

https://ssol2-jjanghacker.tistory.com/entry/CTF-DMemory-GrrCON-2015-2

 

[CTF-D/Memory] GrrCON 2015 #2

문제 : 수상한 이메일에 첨부되어 있는 파일은 무엇인가? GrrCON 2015 #1 문제와 이어지는 풀이 과정이기에 참고하시길 ! https://ssol2-jjanghacker.tistory.com/entry/CTF-DMemory-GrrCON-2015-1 [CTF-D/Memory..

ssol2-jjanghacker.tistory.com

 

 

해당 파일을 다운로드 받았을 것이니 그 파일을 분석하기 위해서 filescan으로 offset 주소를 찾자.

(file offset이 있어야 dumpfiles가 가능하기 때문)

 

 

다양한 offset이 나왔지만, download 경로에 있는 파일을 고르고 싶었다..

이후 dumpfiles로 파일을 추출하자.

 

 

img와 dat 파일이 추출되었고,

추출되자마자 Window 바이러스 위협 경고가 뜨는 것을 보아 악성코드가 있는 것 같다.

 

 

바이러스 검사 사이트에서 dat 파일을 올렸더니 61/73이라는 높은 수치로 악성 코드가 발견되었다.

바이러스 검사 사이트 -> https://www.virustotal.com/

 

 

몇 개의 백신 프로그램에서 XTrat이라는 명칭을 사용하고,

위에 첨부한 window 바이러스 위협 경고에서도 Xtrat 바이러스를 감지하였다.

 

 

Xtrat을 검색해보니 바이러스의 알려진 이름이

'Xtreme Rat'임을 확인할 수 있다.

 

 

 

 

🚫 flag는 🚫

더보기

XtremeRAT

'challenge > forensic' 카테고리의 다른 글

[CTF-D/Memory] GrrCON 2015 #5  (0) 2021.05.21
[CTF-D/Memory] GrrCON 2015 #4  (0) 2021.05.20
[CTF-D/Memory] GrrCON 2015 #2  (0) 2021.05.20
[CTF-D/Memory] GrrCON 2015 #1  (0) 2021.05.20
[CTF-D/Network] DefCoN#21 #1  (0) 2021.05.10
Comments