Memory Forensic #22 (GrrCON 2015 #22)
22번 문제부터 새로운 문제 파일로 진행된다.
volatility를 실행하여 메모리 정보를 확인하였다.
메모리 정보를 확인해보면 Windows 7 운영체제에서 사용된 메모리인 것을 확인할 수 있다.
멀웨어의 C&C 서버를 알기 위해서 먼저 어떤 것이 멀웨어인지 알아야 한다.
알아내기 위해 volatility를 실행하여 malfind 플러그인을 사용하여 확인하였다.
malfind : 멀웨어로 의심되는 dll이나 exe 파일의 각 프로세스 내부의 쉘 코드를 검색
여러 파일들이 멀웨어로 확인되지만, 이번 문제의 멀웨어는 iexplore.exe 파일이다.
그리고 이 프로세스가 멀웨어이고 현재 네트워크 통신 중이라면 C&C 서버와 통신 중일 것이다.
따라서 netscan 플러그인을 사용하여 네트워크 통신 상태를 확인한다.
실행 결과를 확인해보면 iexplore.exe 프로세스가 네트워크 통신 중이며, C&C 서버의 IP 주소 정보가 확인된다.
C&C 서버의 IP 주소를 플래그로 입력하면 문제를 해결할 수 있다.
# Reference
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Memory Forensic] GrrCON 2015 #24 (0) | 2020.02.24 |
|---|---|
| [Memory Forensic] GrrCON 2015 #23 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #21 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #20 (0) | 2020.02.24 |
| [Memory Forensic] GrrCON 2015 #19 (0) | 2020.02.24 |