Yum_Yum

Memory Forensic #24 (GrrCON 2015 #24)

이전 문제와 똑같이 malfind 플러그인을 사용하여 멀웨어인 iexplore.exe를 추출한다.

멀웨어가 추출되었으면 strings 프로그램을 사용하여 문자열을 분석한다.

텍스트 파일로 변환시키지 않고, dmp 파일을 strings 프로그램을 통하여 문자열을 확인하였다.

문자열을 확인하면 마지막에 보이는 exe 파일이 문제에서 제시한 화이트리스트로 정의된 악성코드로 확인된다.

따라서 악성코드 이름을 플래그로 입력하면 문제를 해결할 수 있다. 

# Reference

http://www.yes24.com/Product/Goods/59156934

Memory Forensic #23 (GrrCON 2015 #23)

이전 문제에서 iexplore.exe가 멀웨어라는 것을 확인하였다.

이 멀웨어의 일반적인 이름을 확인하기 위해 malfind 플러그인으로 멀웨어를 추출한다.

추출이 완료되면 복구된 파일을 Virus Total 사이트를 통하여 검사한다.

Virus Total 사이트 : https://www.virustotal.com/gui/home/upload

검사 결과를 확인해보면 많은 백신 프로그램들이 해당 프로세스를 멀웨어로 탐지한다.

많은 이름 중에서 Avast 프로그램의 Dexter라는 명칭이 일반적인 이름으로 확인된다.

Dexter : 2012년 12월 전 세계의 POS 시스템을 감염시킨 컴퓨터 바이러스

해당 이름을 플래그로 입력하면 문제를 해결할 수 있다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Memory Forensic #22 (GrrCON 2015 #22)

22번 문제부터 새로운 문제 파일로 진행된다.

volatility를 실행하여 메모리 정보를 확인하였다.

메모리 정보를 확인해보면 Windows 7 운영체제에서 사용된 메모리인 것을 확인할 수 있다.

멀웨어의 C&C 서버를 알기 위해서 먼저 어떤 것이 멀웨어인지 알아야 한다.

알아내기 위해 volatility를 실행하여 malfind 플러그인을 사용하여 확인하였다.

malfind : 멀웨어로 의심되는 dll이나 exe 파일의 각 프로세스 내부의 쉘 코드를 검색

여러 파일들이 멀웨어로 확인되지만, 이번 문제의 멀웨어는 iexplore.exe 파일이다.

그리고 이 프로세스가 멀웨어이고 현재 네트워크 통신 중이라면 C&C 서버와 통신 중일 것이다.

따라서 netscan 플러그인을 사용하여 네트워크 통신 상태를 확인한다.

실행 결과를 확인해보면 iexplore.exe 프로세스가 네트워크 통신 중이며, C&C 서버의 IP 주소 정보가 확인된다.

C&C 서버의 IP 주소를 플래그로 입력하면 문제를 해결할 수 있다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Memory Forensic #21 (GrrCON 2015 #21)

문제에서 예약된 작업을 만들었다는 것을 보면 공격자가 job 파일을 만들었다고 추측해볼 수 있습니다.

job 파일 : 일반적으로 소프트웨어 업데이트의 정기적인 검사 예약 및 바이러스 백신 소프트웨어 시스템 검사 실행에 사용

volatility를 실행하여 filescan 플러그인을 사용한 다음, job 파일이 존재하는지 확인하였습니다.

job 문자열을 필터링하면 마지막 줄에 At1.job라는 파일이 발견됩니다.

이 파일의 스케줄링 작업을 확인하기 위해 dumpfiles 플러그인으로 파일을 복구하였습니다.

파일이 복구되었으므로 strings 프로그램을 사용하여 문자열을 분석하였습니다.

정보를 확인해보면 1.bat 파일이 확인됩니다.

이 파일이 존재하는지 확인하기 위해 filescan 플러그인으로 확인하였습니다.

실행 결과를 보면 1.bat 파일이 존재하는 것이 확인됩니다.

이제 파일을 복구하기 위해 dumpfiles 플러그인으로 파일을 복구합니다.

파일이 복구되었으면 다시 strings 프로그램으로 문자열을 확인합니다.

확인해보면 wce.exe 프로그램을 사용하여 비밀번호 정보를 보안 관리자인 gideon의 폴더 내에 w.tmp 파일로 저장한 것을 확인할 수 있습니다.

따라서 bat 파일을 포맷에 맞게 입력하면 문제를 해결할 수 있습니다.

Memory Forensic #20 (GrrCON 2015 #20)

이전 문제에서 공격자가 압축 파일을 생성한 것을 확인했다면, 이번 문제는 이 압축 파일에 대해 압축된 파일들이 무엇인지 찾는 문제입니다.

이때 분석할 파일은 conhost.exe 파일입니다.

conhost.exe : 윈도우 콘솔에서 실행한 명령어, 입출력 결과 등의 정보를 보관

따라서 rar 파일이 생성됐을 때, 안에 담겨져 있는 파일의 정보 또한 conhost.exe 파일에 기록되어 있을 것입니다.

volatility를 실행한 다음, cmdscan 플러그인을 사용하여 공격자가 명령어를 입력했을 당시 사용된 conhost.exe의 PID를 확인하였습니다.

공격자가 입력한 명령어에 관련된 정보를 기록하는 conhost.exe의 PID는 3048로 확인됩니다.

이제 해당 프로세스를 memdump 플러그인을 사용하여 파일을 복구합니다.

프로세스 파일을 복구되면, 문자열 분석을 위해 strings 프로그램을 사용합니다.

실행 시에 문자열이 한 번에 확인하기 힘들 정도의 많은 양이기에 별도의 파일로 내용을 입력받도록 합니다.

텍스트 파일로 변환시켰으므로 Sublime Text3로 문자열을 확인하였습니다.

rar 파일과 관련된 정보를 확인해야 하므로 rar을 검색하여 정보를 확인하였습니다.

차례대로 포맷에 맞게 txt 파일 이름과 확장자를 플래그로 입력하면 문제를 해결할 수 있습니다.

Memory Forensic #19 (GrrCON 2015 #19)

이번 문제는 이전 18번 문제에서 찾은 답과 같이 존재합니다.

이전 문제와 마찬가지로 cmdscan을 사용하여 공격자가 사용한 명령어를 확인하였습니다.

Cmd #17을 확인해보면 마지막 명령어를 통해 압축 파일을 생성한 뒤에 비밀번호를 걸어 놓은 것을 확인할 수 있습니다.

비밀번호 뒤에 있는 rar 파일명을 입력하면 문제를 해결할 수 있습니다.