ssoL2 TISTORY

문제 : 재부팅 후에도 지속성을 유지하기 위해 멀웨어가 사용하는 레지스트시 키를 찾아라. volatility로 imageinfo 플러그인을 사용해서 운영체제 정보를 얻는다. 재부팅 후에도 자동으로 실행되기 위해서는 "Software\Microsoft\Windows\CurrentVersion\Run"에 등록된다. HKLM\SOTEWARE\Microsoft\Windows\CurrentVersion\Run - Run 키에 등록된 파일은 Window OS가 시작할 때 자동으로 실행됩니다. 출처 : https://securityfactory.tistory.com/131 따라서 레지스트리의 키의 서브키와 값을 출력하는 printkey 플러그인을 사용해서 해당 위치에 등록된 파일을 출력하자. 그러면, GrrCON 2..

문제 : 프로세스 인젝션된 프로세스의 PID를 찾아라. 악성코드에 의해서 프로세스 인젝션이 된 상황이다. 프로세스 인젝션이란, 공격자가 신뢰할 수 없는 프로세스를 프로그램에 주입하도록 하는 공격이다. 수상한 프로세스가 없는지 확인하기 위해서 Volatility를 사용한다. 먼저 imgeinfo 플러그인으로 운영체제 Profile을 얻는다. 이후 프로세스를 확인하기 위해서 pstree 플러그인을 사용한다. 윈도우 시스템 프로세스를 제외하고, 수상한 점이 발견된다. 원래 iexplore.exe(internet explorer)와 같은 사용자 응용 프로그램은 explorer.exe 밑으로 실행되는 것으로 알고 있다. 그러나, 독자적인 iexplore.exe 프로세스가 발견된다. 또한, iexplore.exe의..

문제 : 피싱을 성공하게 한 악성코드의 이름을 찾아라!! 피싱이라는 단어부터 집고 갑시다. 피싱(phishing)이란 이메일 또는 메신저를 사용해서 신뢰할 만한 사람이 보낸 메시지인 것처럼 가정해서 개인정보를 부정하게 얻으려는 사이버 범죄이다. 그러면, 이전 문제에서 얻은 수상한 파일에 악성코드가 있음을 유추할 수 있다. https://ssol2-jjanghacker.tistory.com/entry/CTF-DMemory-GrrCON-2015-2 [CTF-D/Memory] GrrCON 2015 #2 문제 : 수상한 이메일에 첨부되어 있는 파일은 무엇인가? GrrCON 2015 #1 문제와 이어지는 풀이 과정이기에 참고하시길 ! https://ssol2-jjanghacker.tistory.com/entry/..

문제 : 수상한 이메일에 첨부되어 있는 파일은 무엇인가? GrrCON 2015 #1 문제와 이어지는 풀이 과정이기에 참고하시길 ! https://ssol2-jjanghacker.tistory.com/entry/CTF-DMemory-GrrCON-2015-1 [CTF-D/Memory] GrrCON 2015 #1 문제 : vmss 파일에서 수상한 이메일을 보낸 전자 메일 주소를 찾아라. 먼저, vmss 파일이 뭔지 알아보자. vmss 확장자를 지닌 파일은 vmware 가상머신에서 일시 중단한 상태의 데이터이다. 따라서, 이 ssol2-jjanghacker.tistory.com 간략하게 설명하자면, 메모리 덤프 파일을 volatility로 돌렸고, OULOOK.EXE 프로세스를 추출해서 분석해본 결과 아래 te..

문제 : vmss 파일에서 수상한 이메일을 보낸 전자 메일 주소를 찾아라. 먼저, vmss 파일이 뭔지 알아보자. vmss 확장자를 지닌 파일은 vmware 가상머신에서 일시 중단한 상태의 데이터이다. 따라서, 이 메모리 파일을 분석하기 위해 volatility를 이용합시다. volatility로 imageinfo 플러그인을 통해 Profile을 얻었고, 일단 어떤 프로세스를 실행하였는지 살펴보기 위해 pstree 플러그인을 사용하자. Teamviewer.exe 혹은 다양한 시스템 프로세스가 나오는 와중에, 이메일과 관련된 프로세스 발견 !! (Outlook이 아마 내가 알기론 마이크로소프트 계정으로 알고 있음) 해당 프로세스를 분석하기 위해 memdump로 따로 뺍시다! 사용 시 프로세스 PID 필요합..