Memory Forensic #21 (GrrCON 2015 #21)
문제에서 예약된 작업을 만들었다는 것을 보면 공격자가 job 파일을 만들었다고 추측해볼 수 있습니다.
job 파일 : 일반적으로 소프트웨어 업데이트의 정기적인 검사 예약 및 바이러스 백신 소프트웨어 시스템 검사 실행에 사용
volatility를 실행하여 filescan 플러그인을 사용한 다음, job 파일이 존재하는지 확인하였습니다.
job 문자열을 필터링하면 마지막 줄에 At1.job라는 파일이 발견됩니다.
이 파일의 스케줄링 작업을 확인하기 위해 dumpfiles 플러그인으로 파일을 복구하였습니다.
파일이 복구되었으므로 strings 프로그램을 사용하여 문자열을 분석하였습니다.
정보를 확인해보면 1.bat 파일이 확인됩니다.
이 파일이 존재하는지 확인하기 위해 filescan 플러그인으로 확인하였습니다.
실행 결과를 보면 1.bat 파일이 존재하는 것이 확인됩니다.
이제 파일을 복구하기 위해 dumpfiles 플러그인으로 파일을 복구합니다.
파일이 복구되었으면 다시 strings 프로그램으로 문자열을 확인합니다.
확인해보면 wce.exe 프로그램을 사용하여 비밀번호 정보를 보안 관리자인 gideon의 폴더 내에 w.tmp 파일로 저장한 것을 확인할 수 있습니다.
따라서 bat 파일을 포맷에 맞게 입력하면 문제를 해결할 수 있습니다.
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Memory Forensic] GrrCON 2015 #23 (0) | 2020.02.24 |
|---|---|
| [Memory Forensic] GrrCON 2015 #22 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #20 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #19 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #18 (0) | 2020.02.24 |