Yum_Yum

Memory Forensic #12 GrrCON 2015 #12

지문에 대한 파일의 MAC (수정, 접근, 생성) 시간은 MFT 파일을 분석해보면 확인할 수 있습니다.

따라서 volatility 도구의 mftparser 플러그인을 사용하여 메모리 덤프에 대한 MFT 파일을 분석하였습니다.

MFT 파일에 대한 nbtscan.exe 파일의 타임스탬프를 확인해보면 수정과 접근, 생성 시간이 모두 동일합니다.

그러므로 Key Format대로 날짜와 시간을 플래그로 입력하면 문제를 해결할 수 있습니다.

Memory Forensic #11 GrrCON 2015 #11

이전 문제에서 3가지의 도구에서 1개가 비밀번호를 평문으로 전송했을 것이라고 생각해볼 수 있으며, 3개의 파일은 nbtscan.exe, rar.exe, wce.exe 파일입니다.

각 도구들은 다른 기능을 가지고 있으며, 이 중에서 지문과 매우 근접한 파일은 wce.exe라는 파일입니다.

wce.exe 파일은 윈도우 계정 비밀번호 해시 정보와 문자열 정보를 추출하여 보여주는 도구입니다.

도구 기능상 평문 암호를 덤프하는데 사용한 파일은 바로 wce.exe 파일인 것 같습니다.

wce.exe을 실행하였다면 cmd 창을 통해 해당 파일과 관련된 명령어를 입력하였을 가능성이 매우 높으므로, volatility도구에서 지원하는 cmdscan 플러그인을 통하여 윈도우 콘솔 창에서 입력한 명령어를 출력할 수 있습니다.

분석 결과를 확인해보면, cmd #4 부분에 wce.exe 실행 결과를 w.tmp라는 파일로 저장한 흔적을 확인할 수 있으며 w.tmp 파일을 확인해보면 wce.exe 파일 결과를 확인할 수 있습니다.

w.tmp 파일 복구를 위해 filescan 플러그인을 사용하여 파일 오프셋 값을 확인하였습니다.

w.tmp 파일 오프셋 값을 확인한 다음, 이제 마지막으로 dumpfiles 플러그인을 사용하여 파일을 복구시켰습니다.

파일 복구가 완료되었으니 sublime text를 통해 분석하였습니다.

파일 내용을 확인한 결과, 관리자 계정으로 된 비밀번호를 확인하여 문제를 해결할 수 있습니다.

Memory Forensic #10 GrrCON 2015 #10

지문 내용을 보면 공격자가 PC를 공격하기 위해 도구를 옮겼다고 하였고, 대상 PC에 자신이 원하는 프로그램을 옮긴 것으로 보입니다.

따라서 공격자는 PC에 악성파일이 설치되도록 유도하였고, 이를 통하여 C&C 서버와 통신이 가능하도록 인젝션과 레지스트리 조작 등 여러 공격을 진행하였습니다.

인젝션 된 iexplore.exe 프로세스를 분석하여 memdump 플러그인으로 확인하였습니다.

저는 이미 이전 문제에서 분석해놓은 덤프 파일이 있기 때문에 추가적으로 파일을 만들지 않았습니다.

복구된 프로세스를 문자열로 변환시켜주는 strings 프로그램을 사용하여 분석하였습니다.

해당 텍스트 파일을 sublime text로 확인하여 분석하였습니다.

지문에서 Key Format은 exe라고 했기에 exe를 검색하여 분석하였습니다.

검색해보면서 분석한 결과, 내용을 확인해보면 tmp 임시 폴더에 몇 가지의 실행 파일들이 존재합니다.

지문에서 g로 시작하는 파일은 아니라고 했기 때문에, 나머지 exe 파일들을 플래그로 입력하면 문제를 해결할 수 있습니다. 

Memory Forensic #9 GrrCON 2015 #9

지문을 보면 관리자의 NTLM 암호 해시를 찾는 문제입니다.

NTLM (NT LAN MANAGER) : 윈도우에서 제공하고 있는 인증 프로토콜 중 하나로 Challenge-Response(도전-응답)라고 불리는 인증 프로토콜 방식을 사용

NTLM에 관한 암호 정보는 volatility 도구에서 hashdump라는 플러그인을 통하여 LM/NTLM에 관한 암호 해시 값을 쉽게 확인할 수 있습니다.

실행 결과를 확인해보면, 관리자(Adminstrator)의 NTLM 암호 해시를 확인할 수 있고, 플래그로 입력하면 문제를 해결할 수 있습니다.

Memory Forensic #8 GrrCON 2015 #8

이번 문제는 매우 상세한 분석이 필요한 문제입니다.

시스템에 악명 높은 해커의 정보가 존재한다고 하며, 해커가 나오는 영화의 이름을 찾는 문제입니다.

여러 플러그인으로 분석하던 중에 MFT와 관련된 정보를 통해 문제를 해결할 수 있었습니다.

MFT : NTFS 파일 시스템에서 가장 중요한 역할을 맡고 있으며, NTFS 볼륨상의 모든 파일에 대하여 적어도 한 개 이상의 엔트리를 가지고 있으며, 파일 크기나 사용 권한, 데이터 내용 등 파일에 관한 메타데이터 정보는 MFT에 저장되어 관리되고 있습니다.

volatility 도구에는 MFT에 관한 플러그인으로 mftparser는 MFT를 분석할 수 있는 플러그인으로 사용됩니다.

결과가 매우 방대한 양이기 때문에, 텍스트 파일로 따로 저장해서 분석하였습니다.

그리고 사용자 이름 (해커)에 관한 정보는 User 부분에 있을 것으로 예상하여 User를 검색하여 계속해서 분석을 진행하였습니다.

분석하던 도중, 이상한 이름을 발견해서 확인해보았습니다.

확인 된 Users의 이름으로는 ADMINI~1, FRONTD~1 등 딱히 이상하지 않은 이름들이었지만, zerocool이라는 이름은 누군가의 이름으로 보여 구글링을 통해 검색하였습니다.

검색해본 결과, Hackers라는 영화에 나오는 해커의 닉네임을 확인하였습니다.

따라서 영화 제목을 확인하였으므로 플래그로 입력하면 문제를 해결할 수 있습니다. 

Memory Forensic #7 GrrCON 2015 #7

지문 내용을 보면 악성코드는 종종 고유한 값이나 이름을 사용해서 시스템에서 자체 복사본 하나만 실행되록 하며, 악성코드가 사용하는 고유 이름을 찾는 문제입니다.

여기서 중요한 것은, 고유 값이나 이름을 사용해서 하나만을 실행하도록 하는 것을 Mutex라고 합니다.

뮤텍스 (Mutex) : 스레드들 간에서 공유가 배제되는 객체

따라서 악성코드에 대한 뮤텍스 정보를 확인하는 문제입니다.

volatility 도구의 handles 플러그인을 사용하고, 타입을 Mutant로 지정한 다음,  iexplore 프로세스에 대한 뮤텍스 정보를 확인하였습니다.

결과를 확인해보면 오프셋 값이 85d11700으로 된 dat 파일이 악성코드가 사용하는 파일명으로 확인할 수 있습니다.

따라서 dat 파일의 이름을 플래그로 입력해주면 문제를 해결할 수 있습니다.