Memory Forensic #18 (GrrCON 2015 #18)
문제를 보면 공격자가 보안 관리자 권한으로 파일을 암호화한다고 압축했다고 합니다.
이는 피해 시스템에서 공격자가 수행한 명령어들이 기록되어 있다는 것을 의미합니다.
명령어 기록을 분석하기 위해 volatility를 실행하여 cmdscan 플러그인을 사용해서 명령어 기록들을 분석하였습니다.
실행 결과를 보게 되면, 공격자가 rar 명령어를 사용하여 파일을 압축한 것을 확인할 수 있습니다.
자세히 확인해보면 언뜻 보기에는 공격자가 마지막으로 입력한 두 줄이 모두 맞게 입력한 것으로 보이지만 먼저 입력한 rar 명령어의 입력 양식이 앞뒤가 바뀌게 되어 정상적으로 실행되지 않았습니다.
따라서 올바른 입력 양식으로 입력한 2번째 줄의 비밀번호가 압축 파일의 비밀번호입니다.
해당 비밀번호를 플래그로 입력하면 문제를 해결할 수 있습니다.
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Memory Forensic] GrrCON 2015 #20 (0) | 2020.02.24 |
|---|---|
| [Memory Forensic] GrrCON 2015 #19 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #17 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #16 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #15 (0) | 2020.02.24 |