Memory Forensic #10 GrrCON 2015 #10
지문 내용을 보면 공격자가 PC를 공격하기 위해 도구를 옮겼다고 하였고, 대상 PC에 자신이 원하는 프로그램을 옮긴 것으로 보입니다.
따라서 공격자는 PC에 악성파일이 설치되도록 유도하였고, 이를 통하여 C&C 서버와 통신이 가능하도록 인젝션과 레지스트리 조작 등 여러 공격을 진행하였습니다.
인젝션 된 iexplore.exe 프로세스를 분석하여 memdump 플러그인으로 확인하였습니다.
저는 이미 이전 문제에서 분석해놓은 덤프 파일이 있기 때문에 추가적으로 파일을 만들지 않았습니다.
복구된 프로세스를 문자열로 변환시켜주는 strings 프로그램을 사용하여 분석하였습니다.
해당 텍스트 파일을 sublime text로 확인하여 분석하였습니다.
지문에서 Key Format은 exe라고 했기에 exe를 검색하여 분석하였습니다.
검색해보면서 분석한 결과, 내용을 확인해보면 tmp 임시 폴더에 몇 가지의 실행 파일들이 존재합니다.
지문에서 g로 시작하는 파일은 아니라고 했기 때문에, 나머지 exe 파일들을 플래그로 입력하면 문제를 해결할 수 있습니다.
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Memory Forensic] GrrCON 2015 #12 (0) | 2020.02.09 |
|---|---|
| [Memory Forensic] GrrCON 2015 #11 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #9 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #8 (0) | 2020.02.09 |
| [Memory Forensic] GrrCON 2015 #7 (0) | 2020.02.09 |