Yum_Yum

Memory Forensic #21 (GrrCON 2015 #21)

문제에서 예약된 작업을 만들었다는 것을 보면 공격자가 job 파일을 만들었다고 추측해볼 수 있습니다.

job 파일 : 일반적으로 소프트웨어 업데이트의 정기적인 검사 예약 및 바이러스 백신 소프트웨어 시스템 검사 실행에 사용

volatility를 실행하여 filescan 플러그인을 사용한 다음, job 파일이 존재하는지 확인하였습니다.

job 문자열을 필터링하면 마지막 줄에 At1.job라는 파일이 발견됩니다.

이 파일의 스케줄링 작업을 확인하기 위해 dumpfiles 플러그인으로 파일을 복구하였습니다.

파일이 복구되었으므로 strings 프로그램을 사용하여 문자열을 분석하였습니다.

정보를 확인해보면 1.bat 파일이 확인됩니다.

이 파일이 존재하는지 확인하기 위해 filescan 플러그인으로 확인하였습니다.

실행 결과를 보면 1.bat 파일이 존재하는 것이 확인됩니다.

이제 파일을 복구하기 위해 dumpfiles 플러그인으로 파일을 복구합니다.

파일이 복구되었으면 다시 strings 프로그램으로 문자열을 확인합니다.

확인해보면 wce.exe 프로그램을 사용하여 비밀번호 정보를 보안 관리자인 gideon의 폴더 내에 w.tmp 파일로 저장한 것을 확인할 수 있습니다.

따라서 bat 파일을 포맷에 맞게 입력하면 문제를 해결할 수 있습니다.

Memory Forensic #20 (GrrCON 2015 #20)

이전 문제에서 공격자가 압축 파일을 생성한 것을 확인했다면, 이번 문제는 이 압축 파일에 대해 압축된 파일들이 무엇인지 찾는 문제입니다.

이때 분석할 파일은 conhost.exe 파일입니다.

conhost.exe : 윈도우 콘솔에서 실행한 명령어, 입출력 결과 등의 정보를 보관

따라서 rar 파일이 생성됐을 때, 안에 담겨져 있는 파일의 정보 또한 conhost.exe 파일에 기록되어 있을 것입니다.

volatility를 실행한 다음, cmdscan 플러그인을 사용하여 공격자가 명령어를 입력했을 당시 사용된 conhost.exe의 PID를 확인하였습니다.

공격자가 입력한 명령어에 관련된 정보를 기록하는 conhost.exe의 PID는 3048로 확인됩니다.

이제 해당 프로세스를 memdump 플러그인을 사용하여 파일을 복구합니다.

프로세스 파일을 복구되면, 문자열 분석을 위해 strings 프로그램을 사용합니다.

실행 시에 문자열이 한 번에 확인하기 힘들 정도의 많은 양이기에 별도의 파일로 내용을 입력받도록 합니다.

텍스트 파일로 변환시켰으므로 Sublime Text3로 문자열을 확인하였습니다.

rar 파일과 관련된 정보를 확인해야 하므로 rar을 검색하여 정보를 확인하였습니다.

차례대로 포맷에 맞게 txt 파일 이름과 확장자를 플래그로 입력하면 문제를 해결할 수 있습니다.

Memory Forensic #19 (GrrCON 2015 #19)

이번 문제는 이전 18번 문제에서 찾은 답과 같이 존재합니다.

이전 문제와 마찬가지로 cmdscan을 사용하여 공격자가 사용한 명령어를 확인하였습니다.

Cmd #17을 확인해보면 마지막 명령어를 통해 압축 파일을 생성한 뒤에 비밀번호를 걸어 놓은 것을 확인할 수 있습니다.

비밀번호 뒤에 있는 rar 파일명을 입력하면 문제를 해결할 수 있습니다.

Memory Forensic #18 (GrrCON 2015 #18)

문제를 보면 공격자가 보안 관리자 권한으로 파일을 암호화한다고 압축했다고 합니다.

이는 피해 시스템에서 공격자가 수행한 명령어들이 기록되어 있다는 것을 의미합니다.

명령어 기록을 분석하기 위해 volatility를 실행하여 cmdscan 플러그인을 사용해서 명령어 기록들을 분석하였습니다.

실행 결과를 보게 되면, 공격자가 rar 명령어를 사용하여 파일을 압축한 것을 확인할 수 있습니다.

자세히 확인해보면 언뜻 보기에는 공격자가 마지막으로 입력한 두 줄이 모두 맞게 입력한 것으로 보이지만 먼저 입력한 rar 명령어의 입력 양식이 앞뒤가 바뀌게 되어 정상적으로 실행되지 않았습니다.

따라서 올바른 입력 양식으로 입력한 2번째 줄의 비밀번호가 압축 파일의 비밀번호입니다.

해당 비밀번호를 플래그로 입력하면 문제를 해결할 수 있습니다. 

Memory Forensic #17 (GrrCON 2015 #17)

드디어 새로운 문제 파일이 주어집니다.

해당 파일의 메모리 정보 확인을 위해 volatility를 실행하여 확인하였습니다.

파일을 분석하면 Windows 7 운영체제에서 사용된 메모리라는 것을 확인할 수 있습니다.

(파일 이름은 너무 길어서 변경하였습니다.)

문제를 자세히 보면 공격자가 보안 관리자 컴퓨터로 접속하여 비밀번호를 덤프했다는 것을 확인할 수 있습니다.

따라서 덤프했을 시 이와 관련된 명령어를 입력했다는 것을 추측할 수 있으며, 원격 접속 방식을 사용한 것으로 보입니다.

volatility를 실행하여 cmdscan 플러그인을 사용하여 시스템에서 사용된 명령어들을 분석하였습니다.

실행 결과를 확인해보면 C:\Users 폴더에 접속한 후 wce.exe 프로그램 사용 결과를 gideon 폴더 밑에 w.tmp라는 파일로 저장시킨 것을 확인할 수 있습니다.

wce.exe : 윈도우 계정의 비밀번호 해시 정보와 문자열 정보를 추출해서 보여주는 도구로, 피해 시스템에서 실행하였을 경우 보안 관리자의 비밀번호가 포함되어 있을 가능성이 큼

따라서 저장된 w.tmp 파일을 복구하여 내용을 확인하였습니다.

파일의 오프셋 값을 확인하기 위해 filescan 플러그인을 사용하여 분석하였습니다.

실행 결과를 확인해보면 w.tmp 파일의 오프셋 값이 출력됩니다.

이제 dumpfiles 플러그인을 사용하여 파일을 복구합니다.

파일이 복구됐으므로 파일의 내용만 확인하면 됩니다.

HxD를 통해 파일 내용을 확인한 결과, Gideon의 비밀번호가 존재하며 플래그로 입력하면 문제를 해결할 수 있습니다.

Memory Forensic #16 (GrrCON 2015 #16)

문제를 보면 공격자가 원격 접속 방식을 사용한 것을 확인할 수 있습니다.

원격 접속 방식을 사용했다는 것은 네트워크 통신이 이뤄졌다는 것이므로 volatility를 실행하여 netscan 플러그인을 사용하여 네트워크 통신 상태를 확인하였습니다.

실행 결과를 확인해보면 네트워크 통신 상태를 확인할 수 있으며, mstsc.exe라는 프로세스를 확인할 수 있습니다.

mstsc.exe : 윈도우 운영체제에서 사용하는 원격 데스크톱 제어 프로그램

따라서 mstsc.exe 프로세스에 대한 IP 주소를 문제 포맷대로 입력하면 문제를 해결할 수 있습니다.