Wargame/CTF(Capture The Flag)

ํ™€๋ฆฌ์‰ด๋“œ 2016? forensic memory :)

๐“›๐“พ๐“ฌ๐“ฎ๐“ฝ๐“ฎ_๐“ข๐“ฝ๐“ฎ๐“ต๐“ต๐“ช 2017. 1. 11.
728x90
๋ฐ˜์‘ํ˜•



์–ด์ฉŒ๋‹ค ๋ณด๋‹ˆ ์ฐพ๊ฒŒ ๋œ๋ฌธ์ œ!!!


ํ’€์–ด๋ณด์ž !!


๊ทผ๋ฐ ๋งž๊ฒŒ ํ‘ธ๋Š”์ง€๋ฅผ ๋ชจ๋ฅด๊ฒ ๋‹ค :( 

๋ฌธ์ œ๋Š” 

Auth : MalwarePid_C&C_Attacker.Server

ex) 123_http://www.naver.com/index.php_1.2.3.4


Hint) No Parameter

Hint-2) Attacker.Server on the Memory

Hint-3) Attacker.Server is pharming Server


์ด๋ ‡๊ฒŒ ๋ž€๋‹ค.

์‹œ์ž‘ํ•˜์ž !! ํฌ์™€์•„์•„์•™ ๋‚˜์™€๋ผ ! volatility!!!!


๋จผ์ € imageinfo ๋ฅผ ํ†ตํ•ด profile๊ณผ ๋ฉ”๋ชจ๋ฆฌ ๋คํ”„ํŒŒ์ผ ์ƒ์„ฑ ์‹œ๊ฐ„์„ ํ™•์ธ ํ›„


pslist๋ช…๋ น์–ด๋ฅผ ํ†ตํ•ด ํ”„๋กœ์„ธ์Šค ๋ฆฌ์ŠคํŠธ๋ฅผ ํ™•์ธ ํ•ด๋ณด์•˜๋‹ค.



๋ณด๋‹ค๋ณด๋‹ˆ attrib.exe๋ฅผ ๋ณด๊ณ  ๋ฌด์Šจ ํŒŒ์ผ์ธ์ง€ ์˜๋ฌธ ์ด์ƒ๊ฒผ๋‹ค.

๋ฐ”๋กœ ๊ตฌ๊ธ€๋กœ ๋‹ฌ๋ ค๊ฐ€๋Š” ์„ผ์Šค :)



์ด๋Ÿฌํ•œ ๊ธ€์„ ๋ณด๊ณ  ์•„ํ•˜!! ์•…์„ฑ์ฝ”๋“œ :) ๋ถ„๋ช… ๋ฌธ์ œ ํžŒํŠธ์—๋„ ํŒŒ๋ฐ์ด๋ผ ๋‚˜์™”๊ฒ ๋‹ค !!!!



๊ทธ๋Ÿผ ๋‹ค์Œ์œผ๋กœ ํ•  C&C์„œ๋ฒ„ ์ฐพ๊ธฐ์ธ๋ฐ ์ผ๋‹จ ์—ฐ๊ฒฐ๋œ ๋„คํŠธ์›Œํฌ๋ฅผ ๋ณด๊ธฐ์œ„ํ•ด connscan์„ ํ•˜๋‹ˆ 2148 iexplore๋ฅผ ๋ณด๊ณ  ์˜ค์ž‰?๋˜์ž‰?




๋‘๊ฐœ๋งŒ ๋”ฐ๋กœ ๋ณผ๊พธ์–‘ :) ๋จผ๊ฐ€ ์ด๊ฑด hostsํŒŒ์ผ ? ๊ทธ๋ž˜์„œ ๋ฐ”๋กœ filescan | grep hosts



ํ•ด์„œ ๋ฐ”๋กœ ใ…ใ…์ผ์„ ๋‹ค์šด ๋‹ค์šด๋‹ค์šด!!!~~~~~~~~~



์งœ์ž” ~!!! ๋‚˜์™”๋Š๋‹ˆ๋ผ!




sublime text๋กœ ์—ฌ๋‹ˆ๊น ์•„๊นŒ connscan์—์„œ ๋งŽ์ด๋ณธ ip๋‹ค.

์–ด๋””๋กœ ์ ‘์†ํ•˜๋“  ์ €์•„์ดํ”ผ๋กœ ๋“œ๊ฐ€๊ฒŒ ํ•ด๋†จ๊ตฌ๋†”! ๋„ˆ๋ž€๋‚จ์ž 


๊ทธ๋ž˜์„œ yarascan -Y๋ฅผ ์ด์šฉํ•˜์—ฌ ์ด๋กœ์ฟต์ €๋กœ์ฟต!




์ฐพ์•˜๋‹ค ์š”๋†ˆ!! 




๋„์ ! ๋งž๋Š”์ง€๋Š” ๋ชจ๋ฅด๊ฒ ์ง€๋งŒ ...

728x90
๋ฐ˜์‘ํ˜•

๋Œ“๊ธ€