Yum_Yum

Memory Forensic #15 (GrrCON 2015 #15)

문제를 정확히 보면 답에 해당하는 프로세스가 원격 관리 소프트웨어라는 것을 확인할 수 있습니다.

원격 관리를 하게 되면 네트워크 통신이 이뤄지므로 volatility를 실행하여 netscan 플러그인을 사용하여 확인하였습니다.

netscan 플러그인으로 네트워크 연결 정보를 확인하던 도중, 이상한 프로세스를 확인하였습니다.

바로 TeamViewer.exe라는 프로세스입니다.

TeamViewer.exe : 원격 제어 기능이 가능하여 해커가 설치한 것처럼 느껴질 수도 있지만, TeamViewer사가 제작한 합법적인 소프트웨어

따라서 해당 프로세스명을 문제에서 제시한 포맷대로 입력하면 문제를 해결할 수 있습니다.

(플래그 입력 시, T만 대문자로 입력해야 하며 그대로 입력하게 되면 플래그 인증되지 않습니다..)

(V 때문에 플래그 인증되지 않아 고생했습니다...)

Memory Forensic #12 GrrCON 2015 #14

이번 문제는 멀웨어가 사용한 IP 전체 주소와 포트를 구하는 문제입니다.

멀웨어의 IP와 포트 정보를 확인하기 위해 volatility를 실행하여 netscan 플러그인을 사용하였습니다.

netscan 플러그인으로 네트워크 연결 정보를 확인할 수 있습니다.

이전 문제에서 프로세스 인젝션으로 사용되었던 iexplore.exe 파일을 확인하였습니다.

따라서 iexplore.exe 파일의 IP주소와 포트를 문제에서 제시한 포맷대로 입력하면 문제를 해결할 수 있습니다.

Memory Forensic #12 GrrCON 2015 #13

문제를 보면 nbs.txt라는 파일에 nbtscan.exe 파일의 출력 내용을 저장했다고 합니다. 

따라서 nbs.txt 파일을 복구하여야 합니다.

파일 복구를 위해 volatility를 실행한 다음, filescan 플러그인을 사용하여 nbs.txt 오프셋 값을 확인하였습니다.

0x000000003fdb7808이 바로 오프셋 값입니다.

이제 dumpfiles 플러그인으로 해당 파일을 복구합니다.

파일이 정상적으로 복구되었습니다.

복구한 파일의 내용을 확인하기 위해 HxD를 통해 문자열을 확인하였습니다.

내용을 확인해보면 nbtscan.exe 파일의 실행 결과를 확인할 수 있습니다.

그리고 첫 번째 줄에서 지문에서 제시한 IP 주소를 확인할 수 있으며, 문제를 해결할 수 있습니다.

Memory Forensic #12 GrrCON 2015 #12

지문에 대한 파일의 MAC (수정, 접근, 생성) 시간은 MFT 파일을 분석해보면 확인할 수 있습니다.

따라서 volatility 도구의 mftparser 플러그인을 사용하여 메모리 덤프에 대한 MFT 파일을 분석하였습니다.

MFT 파일에 대한 nbtscan.exe 파일의 타임스탬프를 확인해보면 수정과 접근, 생성 시간이 모두 동일합니다.

그러므로 Key Format대로 날짜와 시간을 플래그로 입력하면 문제를 해결할 수 있습니다.

Memory Forensic #11 GrrCON 2015 #11

이전 문제에서 3가지의 도구에서 1개가 비밀번호를 평문으로 전송했을 것이라고 생각해볼 수 있으며, 3개의 파일은 nbtscan.exe, rar.exe, wce.exe 파일입니다.

각 도구들은 다른 기능을 가지고 있으며, 이 중에서 지문과 매우 근접한 파일은 wce.exe라는 파일입니다.

wce.exe 파일은 윈도우 계정 비밀번호 해시 정보와 문자열 정보를 추출하여 보여주는 도구입니다.

도구 기능상 평문 암호를 덤프하는데 사용한 파일은 바로 wce.exe 파일인 것 같습니다.

wce.exe을 실행하였다면 cmd 창을 통해 해당 파일과 관련된 명령어를 입력하였을 가능성이 매우 높으므로, volatility도구에서 지원하는 cmdscan 플러그인을 통하여 윈도우 콘솔 창에서 입력한 명령어를 출력할 수 있습니다.

분석 결과를 확인해보면, cmd #4 부분에 wce.exe 실행 결과를 w.tmp라는 파일로 저장한 흔적을 확인할 수 있으며 w.tmp 파일을 확인해보면 wce.exe 파일 결과를 확인할 수 있습니다.

w.tmp 파일 복구를 위해 filescan 플러그인을 사용하여 파일 오프셋 값을 확인하였습니다.

w.tmp 파일 오프셋 값을 확인한 다음, 이제 마지막으로 dumpfiles 플러그인을 사용하여 파일을 복구시켰습니다.

파일 복구가 완료되었으니 sublime text를 통해 분석하였습니다.

파일 내용을 확인한 결과, 관리자 계정으로 된 비밀번호를 확인하여 문제를 해결할 수 있습니다.

Memory Forensic #10 GrrCON 2015 #10

지문 내용을 보면 공격자가 PC를 공격하기 위해 도구를 옮겼다고 하였고, 대상 PC에 자신이 원하는 프로그램을 옮긴 것으로 보입니다.

따라서 공격자는 PC에 악성파일이 설치되도록 유도하였고, 이를 통하여 C&C 서버와 통신이 가능하도록 인젝션과 레지스트리 조작 등 여러 공격을 진행하였습니다.

인젝션 된 iexplore.exe 프로세스를 분석하여 memdump 플러그인으로 확인하였습니다.

저는 이미 이전 문제에서 분석해놓은 덤프 파일이 있기 때문에 추가적으로 파일을 만들지 않았습니다.

복구된 프로세스를 문자열로 변환시켜주는 strings 프로그램을 사용하여 분석하였습니다.

해당 텍스트 파일을 sublime text로 확인하여 분석하였습니다.

지문에서 Key Format은 exe라고 했기에 exe를 검색하여 분석하였습니다.

검색해보면서 분석한 결과, 내용을 확인해보면 tmp 임시 폴더에 몇 가지의 실행 파일들이 존재합니다.

지문에서 g로 시작하는 파일은 아니라고 했기 때문에, 나머지 exe 파일들을 플래그로 입력하면 문제를 해결할 수 있습니다.