Memory Forensic #17 (GrrCON 2015 #17)
드디어 새로운 문제 파일이 주어집니다.
해당 파일의 메모리 정보 확인을 위해 volatility를 실행하여 확인하였습니다.
파일을 분석하면 Windows 7 운영체제에서 사용된 메모리라는 것을 확인할 수 있습니다.
(파일 이름은 너무 길어서 변경하였습니다.)
문제를 자세히 보면 공격자가 보안 관리자 컴퓨터로 접속하여 비밀번호를 덤프했다는 것을 확인할 수 있습니다.
따라서 덤프했을 시 이와 관련된 명령어를 입력했다는 것을 추측할 수 있으며, 원격 접속 방식을 사용한 것으로 보입니다.
volatility를 실행하여 cmdscan 플러그인을 사용하여 시스템에서 사용된 명령어들을 분석하였습니다.
실행 결과를 확인해보면 C:\Users 폴더에 접속한 후 wce.exe 프로그램 사용 결과를 gideon 폴더 밑에 w.tmp라는 파일로 저장시킨 것을 확인할 수 있습니다.
wce.exe : 윈도우 계정의 비밀번호 해시 정보와 문자열 정보를 추출해서 보여주는 도구로, 피해 시스템에서 실행하였을 경우 보안 관리자의 비밀번호가 포함되어 있을 가능성이 큼
따라서 저장된 w.tmp 파일을 복구하여 내용을 확인하였습니다.
파일의 오프셋 값을 확인하기 위해 filescan 플러그인을 사용하여 분석하였습니다.
실행 결과를 확인해보면 w.tmp 파일의 오프셋 값이 출력됩니다.
이제 dumpfiles 플러그인을 사용하여 파일을 복구합니다.
파일이 복구됐으므로 파일의 내용만 확인하면 됩니다.
HxD를 통해 파일 내용을 확인한 결과, Gideon의 비밀번호가 존재하며 플래그로 입력하면 문제를 해결할 수 있습니다.
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Memory Forensic] GrrCON 2015 #19 (0) | 2020.02.24 |
|---|---|
| [Memory Forensic] GrrCON 2015 #18 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #16 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #15 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #14 (0) | 2020.02.24 |