Yum_Yum

Memory Forensic #18 (GrrCON 2015 #18)

문제를 보면 공격자가 보안 관리자 권한으로 파일을 암호화한다고 압축했다고 합니다.

이는 피해 시스템에서 공격자가 수행한 명령어들이 기록되어 있다는 것을 의미합니다.

명령어 기록을 분석하기 위해 volatility를 실행하여 cmdscan 플러그인을 사용해서 명령어 기록들을 분석하였습니다.

실행 결과를 보게 되면, 공격자가 rar 명령어를 사용하여 파일을 압축한 것을 확인할 수 있습니다.

자세히 확인해보면 언뜻 보기에는 공격자가 마지막으로 입력한 두 줄이 모두 맞게 입력한 것으로 보이지만 먼저 입력한 rar 명령어의 입력 양식이 앞뒤가 바뀌게 되어 정상적으로 실행되지 않았습니다.

따라서 올바른 입력 양식으로 입력한 2번째 줄의 비밀번호가 압축 파일의 비밀번호입니다.

해당 비밀번호를 플래그로 입력하면 문제를 해결할 수 있습니다. 

Memory Forensic #17 (GrrCON 2015 #17)

드디어 새로운 문제 파일이 주어집니다.

해당 파일의 메모리 정보 확인을 위해 volatility를 실행하여 확인하였습니다.

파일을 분석하면 Windows 7 운영체제에서 사용된 메모리라는 것을 확인할 수 있습니다.

(파일 이름은 너무 길어서 변경하였습니다.)

문제를 자세히 보면 공격자가 보안 관리자 컴퓨터로 접속하여 비밀번호를 덤프했다는 것을 확인할 수 있습니다.

따라서 덤프했을 시 이와 관련된 명령어를 입력했다는 것을 추측할 수 있으며, 원격 접속 방식을 사용한 것으로 보입니다.

volatility를 실행하여 cmdscan 플러그인을 사용하여 시스템에서 사용된 명령어들을 분석하였습니다.

실행 결과를 확인해보면 C:\Users 폴더에 접속한 후 wce.exe 프로그램 사용 결과를 gideon 폴더 밑에 w.tmp라는 파일로 저장시킨 것을 확인할 수 있습니다.

wce.exe : 윈도우 계정의 비밀번호 해시 정보와 문자열 정보를 추출해서 보여주는 도구로, 피해 시스템에서 실행하였을 경우 보안 관리자의 비밀번호가 포함되어 있을 가능성이 큼

따라서 저장된 w.tmp 파일을 복구하여 내용을 확인하였습니다.

파일의 오프셋 값을 확인하기 위해 filescan 플러그인을 사용하여 분석하였습니다.

실행 결과를 확인해보면 w.tmp 파일의 오프셋 값이 출력됩니다.

이제 dumpfiles 플러그인을 사용하여 파일을 복구합니다.

파일이 복구됐으므로 파일의 내용만 확인하면 됩니다.

HxD를 통해 파일 내용을 확인한 결과, Gideon의 비밀번호가 존재하며 플래그로 입력하면 문제를 해결할 수 있습니다.

Memory Forensic #16 (GrrCON 2015 #16)

문제를 보면 공격자가 원격 접속 방식을 사용한 것을 확인할 수 있습니다.

원격 접속 방식을 사용했다는 것은 네트워크 통신이 이뤄졌다는 것이므로 volatility를 실행하여 netscan 플러그인을 사용하여 네트워크 통신 상태를 확인하였습니다.

실행 결과를 확인해보면 네트워크 통신 상태를 확인할 수 있으며, mstsc.exe라는 프로세스를 확인할 수 있습니다.

mstsc.exe : 윈도우 운영체제에서 사용하는 원격 데스크톱 제어 프로그램

따라서 mstsc.exe 프로세스에 대한 IP 주소를 문제 포맷대로 입력하면 문제를 해결할 수 있습니다.

Memory Forensic #15 (GrrCON 2015 #15)

문제를 정확히 보면 답에 해당하는 프로세스가 원격 관리 소프트웨어라는 것을 확인할 수 있습니다.

원격 관리를 하게 되면 네트워크 통신이 이뤄지므로 volatility를 실행하여 netscan 플러그인을 사용하여 확인하였습니다.

netscan 플러그인으로 네트워크 연결 정보를 확인하던 도중, 이상한 프로세스를 확인하였습니다.

바로 TeamViewer.exe라는 프로세스입니다.

TeamViewer.exe : 원격 제어 기능이 가능하여 해커가 설치한 것처럼 느껴질 수도 있지만, TeamViewer사가 제작한 합법적인 소프트웨어

따라서 해당 프로세스명을 문제에서 제시한 포맷대로 입력하면 문제를 해결할 수 있습니다.

(플래그 입력 시, T만 대문자로 입력해야 하며 그대로 입력하게 되면 플래그 인증되지 않습니다..)

(V 때문에 플래그 인증되지 않아 고생했습니다...)

Memory Forensic #12 GrrCON 2015 #14

이번 문제는 멀웨어가 사용한 IP 전체 주소와 포트를 구하는 문제입니다.

멀웨어의 IP와 포트 정보를 확인하기 위해 volatility를 실행하여 netscan 플러그인을 사용하였습니다.

netscan 플러그인으로 네트워크 연결 정보를 확인할 수 있습니다.

이전 문제에서 프로세스 인젝션으로 사용되었던 iexplore.exe 파일을 확인하였습니다.

따라서 iexplore.exe 파일의 IP주소와 포트를 문제에서 제시한 포맷대로 입력하면 문제를 해결할 수 있습니다.

Memory Forensic #12 GrrCON 2015 #13

문제를 보면 nbs.txt라는 파일에 nbtscan.exe 파일의 출력 내용을 저장했다고 합니다. 

따라서 nbs.txt 파일을 복구하여야 합니다.

파일 복구를 위해 volatility를 실행한 다음, filescan 플러그인을 사용하여 nbs.txt 오프셋 값을 확인하였습니다.

0x000000003fdb7808이 바로 오프셋 값입니다.

이제 dumpfiles 플러그인으로 해당 파일을 복구합니다.

파일이 정상적으로 복구되었습니다.

복구한 파일의 내용을 확인하기 위해 HxD를 통해 문자열을 확인하였습니다.

내용을 확인해보면 nbtscan.exe 파일의 실행 결과를 확인할 수 있습니다.

그리고 첫 번째 줄에서 지문에서 제시한 IP 주소를 확인할 수 있으며, 문제를 해결할 수 있습니다.