Yum_Yum

Memory Forensic #3 GrrCON 2015 #3

GrrCON 2015 #1번 문제에서 다운 받은 vmss 파일을 계속 사용하여 해결하는 문제입니다.

공격자가 피싱 공격에 성공한 것을 보면 이전 문제에서 확인한 AnyConnectInstaller.exe 파일이 이번 피싱 공격에 사용된 것으로 추측해볼 수 있습니다.

메모리 포렌식 도구인 volatility를 사용하여 filescan 플러그인을 사용하여 해당 파일이 저장되어 있는지 확인하였습니다.

filescan 플러그인으로 해당 파일이 저장되었는지 확인하는 명령어와 | findstr 명령어를 사용하여  AnyConnectInstaller.exe 문자열을 찾아 확인하였습니다. (vmss 파일 이름이 길어 123으로 변경한 상태입니다.)

결과를 확인해보면 AnyConnectInstaller.exe 파일이 저장된 흔적을 확인할 수 있고, 이 파일들에 대해 dumpfiles 플러그인을 사용하여 파일을 복구하고 분석하였습니다.

3df1cf00 오프셋이 있는 파일을 복구하여 확인해보면 2개의 파일을 복구할 수 있습니다.

바이러스 위협이 뜨게 되면서, 복구된 파일이 몇 초 뒤에 없어지는 것이 확인됩니다.

이것으로 악성코드 파일인 것을 확인할 수 있었으며, 바이러스에 대한 검사를 진행하기 위해 VirusTotal 사이트를 이용하여 바이러스를 검사하였습니다.

VirusTotal 사이트 : https://www.virustotal.com/gui/

바이러스 검사 결과를 보게 되면 많은 백신 프로그램에서 바이러스라는 결과가 출력되며, 바이러스에 대한 정보가 너무 많아 플래그에 대한 혼란이 올 수 있습니다.

많은 바이러스 정보가 확인되지만, 그 중에서 Xtrat라는 바이러스가 확인됩니다.

관련 바이러스를 구글링으로 확인해보면 Xtrat에 대한 정확한 이름을 확인할 수 있습니다.

플래그로 정확한 이름을 입력하면 문제를 해결할 수 있습니다.

XtremeRAT : 2012년 이스라엘과 시리아 정부를 공격하는데 사용된 원격 엑세스 트로이 목마 바이러스

Network Forensic #43 때로는 정답이 바로 나타나지만...

문제 파일로 pcap 파일이 압축 된 gz 파일이 주어집니다.

압축을 풀어주고 pcap 파일을 Wireshark를 통해 열어봅니다.

자세한 내용을 분석하기 위해 Conversations 기능을 통해 통신 기록을 확인하였습니다.

TCP 프로토콜을 이용하여 잘 사용하지 않는 포트를 통해 통신한 것을 확인할 수 있습니다.

Follow Stream을 눌러 패킷 세부 데이터를 분석하였습니다.

위 내용으로는 플래그를 확인할 수 없어 밑으로 내리다가 결정적인 문자열을 발견하였습니다.

Base64로 인코딩 된 문자열입니다.

Base64 디코딩 사이트로 가서 문자열을 디코딩 하였습니다.

Base64 디코딩 사이트 : https://www.base64decode.org/

문자열을 디코딩하면 플래그를 확인하여 문제를 해결할 수 있습니다.

Network Forensic #42 당신이 플래그를 찾을 수 있을까?

문제 파일로 pcap 파일이 주어집니다.

문제를 분석하기 위해, Wireshark 도구를 통해 파일을 분석하였습니다.

이전 woodstock-1과 같은 문제라고 생각하여 Follow TCP Steam 기능을 통해 데이터 내용을 확인하였습니다.

위 부분만 봐서는 플래그를 알 수 없지만, 내용이 매우 많은 것을 확인하고 사이드바를 밑으로 내리면서 분석하였습니다.

맨 밑으로 내리면 클라이언트와 서버가 채팅을 주고 받은 내용을 확인해보면 플래그가 나눠져서 전송된 것을 확인할 수 있습니다.

부분마다 적힌 플래그를 조합해보면 문제를 해결할 수 있습니다.

위 부분은 문제를 해결한 내용이지만, 이 문제에서 중요한 내용을 확인할 수 있었습니다.

Wireshark에서 Conversations 기능을 통해 통신 기록을 확인해보면 31337 포트를 확인할 수 있습니다.

31337 포트 : 일반적으로 31337 포트는 백도어 또는 악성코드에서 많이 쓰이는 포트번호

Network Forensic #40 woodstock-1

문제 파일로 pcapng 형태로 된 패킷 캡처 파일이 주어집니다.

해당 파일을 Wireshark를 활용하여 분석하였습니다.

TCP 프로토콜을 통해 데이터를 주고 받은 것을 확인할 수 있습니다.

주고 받은 데이터를 확인하기 위해 1번 패킷을 선택한 다음, 우클릭하여 Follow TCP Steam 기능을 통해 확인하였습니다.

자세하게 확인해보면 4번째 줄에서 플래그를 확인하여 문제를 해결할 수 있습니다. 

Multimedia Forensic #30 Listen carefully!

문제 파일로 flac 파일이 주어지며, 실행하면 광고 같은 소리가 들립니다.

사실 이 문제는 전에 해결했지만, 플래그 인증이 되지 않아 계속된 플래그 입력 끝에 드디어 해결한 문제입니다.

해당 파일을 분석하기 위해 Audacity로 분석하여 확인하였습니다.

Audacity : 소리나 파동을 시각화하여 파악하기 위한 도구

일반적인 파형의 모습이나 소리로는 문제를 해결할 수 없어서 스펙트로그램 기능을 활용하여 분석하였습니다.

밑으로 된 검은색 화살표 부분을 눌러 스펙트로그램으로 변환시킬 수 있습니다.

변환 후 주파수 값의 범위를 작게 설정(주파수 값을 우클릭하면 줄일 수 있음)하면 문제의 플래그를 확인할 수 있습니다.

위에 보이는 문자열이 플래그입니다.

플래그를 한번에 볼 수 있지만, 저는 위 상태에서 오른쪽으로 드래그하면서 플래그를 입력하여 해결하였습니다.

주의사항 - 플래그 오류가 나는 경우, 작은 따옴표의 모양때문에 오류가 나는 것 같습니다. 따라서 플래그 칸이 아닌 메모장이나 텍스트 프로그램을 활용하여 플래그를 입력한 후에 복사 - 붙여넣기를 통하여 입력하세요!

Network Forensic #22 Sans Network Forensic [Puzzle 3] #7

가격을 확인하는 문제이다.

앞에서 풀이한 5번 문제와 같은 유형의 문제이다.

이전 6번 문제를 해결한 XML 코드에서 price-display를 검색한다.

price-display 옆에 적혀 있는 $부분을 입력하면 7번 문제를 해결할 수 있다.

Network Forensic #23 Sans Network Forensic [Puzzle 3] #8

이전 3번 문제와 같은 유형의 문제이다.

검색할 때의 형태를 알고 있으므로 HTTP 패킷 끝 부분부터 사이드바를 올리면서 확인해보면 마지막으로 검색한 내용에 대해 확인할 수 있다.

이것으로 8번 문제를 해결할 수 있으며, Sans Network Forensic [Puzzle 3]을 마무리하게 된다.

# Reference

http://www.yes24.com/Product/Goods/59156934