CTF-d Writeup ( GrrCON 2015 #3 )

문제 내용

악성코드의 이름을 알아내라고 한다. GrrCON #1, #2 와 연결되는 내용인것 같으니 아마 피싱 공격은 AnyConnectInstaller.exe를 통해 이루어졌을것 이라고 예상할 수 있다.

풀이

volatility 툴을 이용하여 filescan을 이용하여 AnyConnectInstaller.exe 파일을 추출할 수 있도록 메모리 주소를 알아내도록 하겠다.

위와 같이 filescan을 사용하면 해당 메모리에서 추출가능한 파일을 찾아 메모리 주소와 함께 출력해준다. 여기서 함께 나오는 메모리 주소를 이용하여 파일을 추출할 수 있다.

volatility 에서 지원하는 dumpfiles라는 명령어로 파일을 추출할 수 있다.

추출에 성공하면 다음과 같이 두가지 파일이 나온다.

해당 덤프 파일을 VirusTotal 사이트로 가지고 가면 다음과 같이 다양한 백신 프로그램에서 이 파일을 분석해 주는데 Trojan이니 뭐니 잔뜩 나와서 처음엔 이것 저것 막 대입하다가 안되서 하나하나 구글링 해보니 Xtrat이라는 바이러스의 풀네임이 Xt-----Rat이었다. flag로 인증하니 성공적으로 인증 되었다.

CTF-d Writeup ( GrrCON 2015 #4)

문제

악성코드가 프로세스 인젝션을 사용하니 프로세스 아이디를 구해오라고 한다.

풀이

pstree로 뜬 프로세스 리스트를 참고해 보면 수상한 점이 보인다.

iexplore.exe는 Microsoft사에서 만든 인터넷 브라우저 시스템인 Windows Internet Explorer의 프로세스이다. 다만 이 프로세스는 원래 explorer.exe의 자식 프로세스로 돌아가야하는데 아래 0x85d0d030에 iexplore.exe는 부모 프로세스가 explorer.exe를 가르키고 있지 않다.

따라서 0x85d0d030의 iexplore.exe가 독립적으로 실행되는 것을 봐 악성코드로 인해 프로세스 인젝션 되었다고 알 수 있고 그 자식 프로세스로 돌아가는 cmd를 통해 악위적인 명령어가 실행되었다고 추측할 수 있다.

flag : 0x85d0d030 : iexplore.exe 의 PID ( 프로세스 아이디 )

CTF-d Writeup ( GrrCON 2015 #1 )

문제 내용

vmss 파일을 던져준 뒤 직원의 이메일 주소로 이메일을 보낸 전자 메일 주소를 알아내라고 한다.

우선 Volatility를 제대로 사용하기 위해 운영체제 정보를 알아내자.

pstree를 이용하여 프로세스를 확인하였다. 메일 주소라 하였으니 Microsoft Office에서 지원하는 메일 프로세스인 OUTLOOK.EXE가 눈에 띄었다. 프로세스 덤프를 떠주자.

메일이라 하여 gmail.com을 문자열로 검색하였더니 바로 플래그로 보이는 값이 나와 인증하였더니 성공적으로 입력되었다.

CTF-d Writeup ( GrrCON 2015 #2 )

문제내용

공격자가 직원의 이메일로 첨부해 보낸 파일의 이름을 알아내라고 한다.

1에서 추출한 덤프파일 내용에서 gmail.com을 필터로 걸고 쭉 내리다 보면 위와 같이 이메일 내용이 나온다. 대충 내용을 보면 VPN을 업데이트 하라는 내용으로 메일을 보내었다. 그 후 URL을 첨부하였는데 이 URL에 접속시 설치될 파일명이 들어있었다.

CTF-d Writeup (사요나라-바이가 남긴 흥미)

문제 파일로 mp3 파일을 주며 hint 로 오른쪽 채널이 이상하게 들린다 한다. 누가 봐도 오다시티를 이용해 푸는 문제같으니 열어주도록 하자.

문제 파일을 열고 재생해보았더니 왼쪽에 이상한 잡음이 들린다. 혹시 배속과 좌우반전을 통해 힌트를 숨겨놓은 것일 수 있지만 일단 들리는 것에 집중하기 위해 왼쪽을 음소거 시킨뒤 오른쪽 채널의 소리만 들어보도록 하자.

ps. 영어 너무 싫어요; 드림앤두 드륌!;;

하다가 막혀서 010editor로 까봣다 수정한 시간과 원본 출처를 남겨줘서 저곳으로 들어갔더니

음;; osu 라는 게임을 플레이 하는거에다 뭔가 더빙을 했는데 뭔지 모르것다.

아무것도 못찾다가 다시 스펙트로그램을 보고 확대하다 줄이다 하다가 해보니 영어문자가 보이는 것 같아서 자세히 보니 easyctf{---------------}였다. 끝

CTF-d Writeup (Three Thieves Threw Trumpets Through Trees)

일단 문제를 다운받아보자

음...? 이미지를 다운받을 수가 없다.;;;

개발자 모드를 켜서 파일을 다운받아주자

지원되지 않는 파일 형식이라 하니 010editor 로 까보자

아니나 다를까 .wav 파일이었다. 확장자를 바꾸어주자.

1초만에 매우 빠르고 귀아프게 뭐라고 한다. 속도를 조금 조정해주면 password is ㅁㅁㅁㅁㅁㅁ (이거 맞나?)라고 하며 비밀번호가 ㅁㅁㅁㅁㅁㅁ 라고 하였으니 플래그 값으로 주어봤더니 인증이 되었다. ( ㅁㅁㅁㅁㅁㅁ 은 플래그인데 안알랴줄것이다. 각자 풀어봅시당^^)

CTF-d Writeup ( Find key ( Butter Fly ) )

문제 파일을 받아봅시다.

매우 예쁜 나비가 있군요. 여기서 힌트를 얻기는 어려우니 010editor 로 가보겠습니다.

무언가 이상한 내용을 발견하진 못해서 lsb 스테가노 그래피가 아닌가 의심되어 stegsolve 를 꺼내기로 했습니다.

읭..? 아니나 다를까 플래그가 떡하니 나와버렸습니다.

<!doctype html>

CTF-d Wirteup (조수의 차이만큼 하얗습니다)

문제 파일을 받읍시다.

와 사진이 하얀게 lsb 건들기 딱인거 같네요 010editor 로 까보기 전에 너무 의심이 되니 stegsolve 부터 열어봅시다.

와 게싱 만만세

CTF-d Wirteup ( Find key ( movie ) )

문제 파일을 받어 봅시당.

동영상을 열면 매우 선정적(?)인 영상이 나오다가 이상한 사진이 끼워져 있습니다. 동영상은 사진이 빠르게 여러번 지나간다고 생각하면 되는데 이 때 이 빠르게 지나가는 사진을 프레임별로 나누어서 보여주는 도구중 forevid 라는 도구가 있으니 이 도구를 사용해 분석해 줍시다.

쭉 넘기다 보면 이상한 해쉬값 처럼 보이는 것이 있습니다. 무언가 인코딩이나 암호화 되어있지 않을까 라는 제 생각과는 다르게 그냥 플래그 값으로 집어넣었더니 인증이 되었습니다.