์ด์ฉ๋ค ๋ณด๋ ์ฐพ๊ฒ ๋๋ฌธ์ !!!
ํ์ด๋ณด์ !!
๊ทผ๋ฐ ๋ง๊ฒ ํธ๋์ง๋ฅผ ๋ชจ๋ฅด๊ฒ ๋ค :(
๋ฌธ์ ๋
Auth : MalwarePid_C&C_Attacker.Server
ex) 123_http://www.naver.com/index.php_1.2.3.4
Hint) No Parameter
Hint-2) Attacker.Server on the Memory
Hint-3) Attacker.Server is pharming Server
์ด๋ ๊ฒ ๋๋ค.
์์ํ์ !! ํฌ์์์์ ๋์๋ผ ! volatility!!!!
๋จผ์ imageinfo ๋ฅผ ํตํด profile๊ณผ ๋ฉ๋ชจ๋ฆฌ ๋คํํ์ผ ์์ฑ ์๊ฐ์ ํ์ธ ํ
pslist๋ช ๋ น์ด๋ฅผ ํตํด ํ๋ก์ธ์ค ๋ฆฌ์คํธ๋ฅผ ํ์ธ ํด๋ณด์๋ค.
๋ณด๋ค๋ณด๋ attrib.exe๋ฅผ ๋ณด๊ณ ๋ฌด์จ ํ์ผ์ธ์ง ์๋ฌธ ์ด์๊ฒผ๋ค.
๋ฐ๋ก ๊ตฌ๊ธ๋ก ๋ฌ๋ ค๊ฐ๋ ์ผ์ค :)
์ด๋ฌํ ๊ธ์ ๋ณด๊ณ ์ํ!! ์ ์ฑ์ฝ๋ :) ๋ถ๋ช ๋ฌธ์ ํํธ์๋ ํ๋ฐ์ด๋ผ ๋์๊ฒ ๋ค !!!!
๊ทธ๋ผ ๋ค์์ผ๋ก ํ C&C์๋ฒ ์ฐพ๊ธฐ์ธ๋ฐ ์ผ๋จ ์ฐ๊ฒฐ๋ ๋คํธ์ํฌ๋ฅผ ๋ณด๊ธฐ์ํด connscan์ ํ๋ 2148 iexplore๋ฅผ ๋ณด๊ณ ์ค์?๋์?
๋๊ฐ๋ง ๋ฐ๋ก ๋ณผ๊พธ์ :) ๋จผ๊ฐ ์ด๊ฑด hostsํ์ผ ? ๊ทธ๋์ ๋ฐ๋ก filescan | grep hosts
ํด์ ๋ฐ๋ก ใ ใ ์ผ์ ๋ค์ด ๋ค์ด๋ค์ด!!!~~~~~~~~~
์ง์ ~!!! ๋์๋๋๋ผ!
sublime text๋ก ์ฌ๋๊น ์๊น connscan์์ ๋ง์ด๋ณธ ip๋ค.
์ด๋๋ก ์ ์ํ๋ ์ ์์ดํผ๋ก ๋๊ฐ๊ฒ ํด๋จ๊ตฌ๋! ๋๋๋จ์
๊ทธ๋์ yarascan -Y๋ฅผ ์ด์ฉํ์ฌ ์ด๋ก์ฟต์ ๋ก์ฟต!
์ฐพ์๋ค ์๋!!
๋์ ! ๋ง๋์ง๋ ๋ชจ๋ฅด๊ฒ ์ง๋ง ...
'Wargame > CTF(Capture The Flag)' ์นดํ ๊ณ ๋ฆฌ์ ๋ค๋ฅธ ๊ธ
CTF forensic(Recovering From the Snap) ๋ฌธ์ (1) | 2019.01.01 |
---|---|
hackover CTF I AM MANY write up :) (0) | 2018.10.09 |
์ด๋ ๋ฌธ์ ์ธ์ง ๊น๋ฌต์ ๋ฌธ์ ... (0) | 2017.01.11 |
RC3CTF_300_Breaking News (0) | 2016.12.16 |
seccon2016 - Memory Analysis_100 (0) | 2016.12.13 |
๋๊ธ