CTF-d Writeup ( GrrCON 2015 #3 )
문제 내용
악성코드의 이름을 알아내라고 한다. GrrCON #1, #2 와 연결되는 내용인것 같으니 아마 피싱 공격은 AnyConnectInstaller.exe를 통해 이루어졌을것 이라고 예상할 수 있다.
풀이
volatility 툴을 이용하여 filescan을 이용하여 AnyConnectInstaller.exe 파일을 추출할 수 있도록 메모리 주소를 알아내도록 하겠다.
위와 같이 filescan을 사용하면 해당 메모리에서 추출가능한 파일을 찾아 메모리 주소와 함께 출력해준다. 여기서 함께 나오는 메모리 주소를 이용하여 파일을 추출할 수 있다.
volatility 에서 지원하는 dumpfiles라는 명령어로 파일을 추출할 수 있다.
추출에 성공하면 다음과 같이 두가지 파일이 나온다.
해당 덤프 파일을 VirusTotal 사이트로 가지고 가면 다음과 같이 다양한 백신 프로그램에서 이 파일을 분석해 주는데 Trojan이니 뭐니 잔뜩 나와서 처음엔 이것 저것 막 대입하다가 안되서 하나하나 구글링 해보니 Xtrat이라는 바이러스의 풀네임이 Xt-----Rat이었다. flag로 인증하니 성공적으로 인증 되었다.
CTF-d Writeup ( GrrCON 2015 #4)
문제
악성코드가 프로세스 인젝션을 사용하니 프로세스 아이디를 구해오라고 한다.
풀이
pstree로 뜬 프로세스 리스트를 참고해 보면 수상한 점이 보인다.
iexplore.exe는 Microsoft사에서 만든 인터넷 브라우저 시스템인 Windows Internet Explorer의 프로세스이다. 다만 이 프로세스는 원래 explorer.exe의 자식 프로세스로 돌아가야하는데 아래 0x85d0d030에 iexplore.exe는 부모 프로세스가 explorer.exe를 가르키고 있지 않다.
따라서 0x85d0d030의 iexplore.exe가 독립적으로 실행되는 것을 봐 악성코드로 인해 프로세스 인젝션 되었다고 알 수 있고 그 자식 프로세스로 돌아가는 cmd를 통해 악위적인 명령어가 실행되었다고 추측할 수 있다.
flag : 0x85d0d030 : iexplore.exe 의 PID ( 프로세스 아이디 )