Yum_Yum

Memory Forensic #6 GrrCON 2015 #6

지문을 보면 악성코드가 C&C 서버에 재인증시 사용하는 비밀번호를 찾는 문제입니다.

여기서 비밀번호가 담긴 파일들은 이메일 첨부 파일, 인젝션 프로세스 등을 생각할 수 있으며, C&C 서버는 감염된 좀비 PC로부터 정보를 수집하는 단말기이며 PC를 좀비PC로 감염시키는 것은 인젝션 된 프로세스라고 생각할 수 있습니다.

따라서 인젝션 프로세스 정보에 비밀번호가 담겨져 있을 수 있습니다.

프로세스 인젝션 된 프로세스를 분석하기 위해서는 memdump라는 프로세스 덤프 파일을 분석할 수 있는 플러그인을 활용하여 프로세스 인젝션 되었던 iexplore.exe 프로세스 파일을 복구해야 합니다.

이전 문제에서 iexplore.exe의 PID는 2996이었으므로, memdump 플러그인을 사용하여 복구하였습니다.

복구가 완료 된 프로세스를 사람이 쉽게 읽을 수 있는 문자열로 바꿔주는 strings 프로그램을 이용하여 계속해서 분석을 진행하였습니다.

텍스트 파일에서 패스워드를 찾기 위해 이전 문제에서 확인하였던 MrRobot을 활용하였습니다.

이 레지스트리 Key는 악성 프로그램이 재실행되는 역할을 하였고, C&C 서버에 비밀번호를 사용해서 인증하기 때문에 PC가 재부팅 될 때 레지스트리 Key가 실행된 다음, 비밀번호를 인증할 것이라고 추측할 수 있습니다.

따라서 해당 레지스트리 Key가 문자열로 위치한 곳 주변에 비밀번호가 존재할 수 있습니다.

Sublime Text3를 활용하여 MrRobot 문자열을 검색하였습니다.

검색 결과, 비밀번호가 대소문자를 구별하면서 영어와 숫자가 조합된 문자열이라고 생각해보면 주변에서 확인된 GrrCon2015 문자열이라는 것을 확인할 수 있습니다.

따라서 문자열을 플래그로 입력해주면, 문제를 해결할 수 있습니다.

Memory Forensic #5 GrrCON 2015 #5

문제 지문에서 재부팅 후에도 지속성을 유지한다는 내용을 보면 프로그램을 자동 실행해주는 Run이라는 레지스트리 Key를 생각해볼 수 있습니다.

따라서 volatility에서 레지스트리 키 값을 보여주는 printkey 플러그인과 지문에 대한 레지스트리 Key인 Microsoft\Windows\CurrentVersion\Run을 입력하여 확인하였습니다.

결과를 확인해보면 Run 키에 MrRobot라는 이름을 확인할 수 있습니다.

MrRobot이 AnyConnectInstaller.exe라는 악성코드 파일이 사용하는 레지스트리 Key인 것을 확인하여 문제를 해결할 수 있습니다.

Memory Forensic #4 GrrCON 2015 #4

vmss 하나의 문제 파일로 계속해서 이어 풀어나가는 문제입니다.

공격자의 악성코드가 프로세스 인젝션으로 사용되는 것을 확인하였습니다.

프로세스 인젝션 : 프로세스를 파일에 추가한 다음, 해당 프로그램이 실행이 되면, 인젝션 된 프로세스에 대한 프로그램도 같이 실행 되는 것입니다.

프로세스에 대한 정보를 보기 위하여 pstree 플러그인을 이용하여 프로세스 정보를 확인하였습니다.

pstree 플러그인으로 프로세스 정보를 확인하던 도중, 이상한 점을 발견하였습니다.

추가 정보에서 보시면 원래 iexplore.exe 프로세스는 위에 있는 explorer.exe에 대한 하위 프로세스로 출력되어야 정상입니다.

하지만, iexplore.exe 프로세스는 따로 독립적으로 실행되는 것으로 확인됩니다.

따라서 iexplore.exe 프로세스는 일반적 실행이 아닌, 강제적으로 실행된다고 생각하였습니다.

iexplore.exe 프로세스가 이상하다고 생각하여 PID 입력 결과, 문제를 해결할 수 있었습니다.

Memory Forensic #3 GrrCON 2015 #3

GrrCON 2015 #1번 문제에서 다운 받은 vmss 파일을 계속 사용하여 해결하는 문제입니다.

공격자가 피싱 공격에 성공한 것을 보면 이전 문제에서 확인한 AnyConnectInstaller.exe 파일이 이번 피싱 공격에 사용된 것으로 추측해볼 수 있습니다.

메모리 포렌식 도구인 volatility를 사용하여 filescan 플러그인을 사용하여 해당 파일이 저장되어 있는지 확인하였습니다.

filescan 플러그인으로 해당 파일이 저장되었는지 확인하는 명령어와 | findstr 명령어를 사용하여  AnyConnectInstaller.exe 문자열을 찾아 확인하였습니다. (vmss 파일 이름이 길어 123으로 변경한 상태입니다.)

결과를 확인해보면 AnyConnectInstaller.exe 파일이 저장된 흔적을 확인할 수 있고, 이 파일들에 대해 dumpfiles 플러그인을 사용하여 파일을 복구하고 분석하였습니다.

3df1cf00 오프셋이 있는 파일을 복구하여 확인해보면 2개의 파일을 복구할 수 있습니다.

바이러스 위협이 뜨게 되면서, 복구된 파일이 몇 초 뒤에 없어지는 것이 확인됩니다.

이것으로 악성코드 파일인 것을 확인할 수 있었으며, 바이러스에 대한 검사를 진행하기 위해 VirusTotal 사이트를 이용하여 바이러스를 검사하였습니다.

VirusTotal 사이트 : https://www.virustotal.com/gui/

바이러스 검사 결과를 보게 되면 많은 백신 프로그램에서 바이러스라는 결과가 출력되며, 바이러스에 대한 정보가 너무 많아 플래그에 대한 혼란이 올 수 있습니다.

많은 바이러스 정보가 확인되지만, 그 중에서 Xtrat라는 바이러스가 확인됩니다.

관련 바이러스를 구글링으로 확인해보면 Xtrat에 대한 정확한 이름을 확인할 수 있습니다.

플래그로 정확한 이름을 입력하면 문제를 해결할 수 있습니다.

XtremeRAT : 2012년 이스라엘과 시리아 정부를 공격하는데 사용된 원격 엑세스 트로이 목마 바이러스

Network Forensic #43 때로는 정답이 바로 나타나지만...

문제 파일로 pcap 파일이 압축 된 gz 파일이 주어집니다.

압축을 풀어주고 pcap 파일을 Wireshark를 통해 열어봅니다.

자세한 내용을 분석하기 위해 Conversations 기능을 통해 통신 기록을 확인하였습니다.

TCP 프로토콜을 이용하여 잘 사용하지 않는 포트를 통해 통신한 것을 확인할 수 있습니다.

Follow Stream을 눌러 패킷 세부 데이터를 분석하였습니다.

위 내용으로는 플래그를 확인할 수 없어 밑으로 내리다가 결정적인 문자열을 발견하였습니다.

Base64로 인코딩 된 문자열입니다.

Base64 디코딩 사이트로 가서 문자열을 디코딩 하였습니다.

Base64 디코딩 사이트 : https://www.base64decode.org/

문자열을 디코딩하면 플래그를 확인하여 문제를 해결할 수 있습니다.

Network Forensic #42 당신이 플래그를 찾을 수 있을까?

문제 파일로 pcap 파일이 주어집니다.

문제를 분석하기 위해, Wireshark 도구를 통해 파일을 분석하였습니다.

이전 woodstock-1과 같은 문제라고 생각하여 Follow TCP Steam 기능을 통해 데이터 내용을 확인하였습니다.

위 부분만 봐서는 플래그를 알 수 없지만, 내용이 매우 많은 것을 확인하고 사이드바를 밑으로 내리면서 분석하였습니다.

맨 밑으로 내리면 클라이언트와 서버가 채팅을 주고 받은 내용을 확인해보면 플래그가 나눠져서 전송된 것을 확인할 수 있습니다.

부분마다 적힌 플래그를 조합해보면 문제를 해결할 수 있습니다.

위 부분은 문제를 해결한 내용이지만, 이 문제에서 중요한 내용을 확인할 수 있었습니다.

Wireshark에서 Conversations 기능을 통해 통신 기록을 확인해보면 31337 포트를 확인할 수 있습니다.

31337 포트 : 일반적으로 31337 포트는 백도어 또는 악성코드에서 많이 쓰이는 포트번호