2021. 1. 1. 17:18ㆍ문제연습/CTF-D
본 티스토리 블로그는 PC 환경에 최적화되어 있습니다.
모바일 유저분들은 아래 네이버 블로그를 이용해 주세요.
Memory) GrrCON 2015 #1
본 네이버 블로그는 모바일에 최적화되어 있습니다.PC 유저분들은 아래 티스토리 블로그를 이용해 주세...
blog.naver.com
문제 내용
사건 당시 수상한 이메일을 송신한 메일 주소를 찾아내라고 합니다.
문제에서 준 vmss 파일은 vmware 가상머신의 중단(suspend)상태 당시의 정보를
저장하고 있는 파일입니다.
이 파일을 분석하기위해 volatility를 사용하도록 하겠습니다.
분석
파일 크기가 1GB가 넘어가기에 분석 시간이 굉장히 길어집니다.
일단 파일 정보를 확인해 보도록 하겠습니다.
suggested ~ : 사용된 운영체제 정보로 윈도우7 인 것으로 확인
기본적인 정보를 확인하였으니 당시 어떤 프로그램이 돌아가고 있었는지 확인하기 위해 프로세스의 정보를 확인해 보도록 하겠습니다.
흠, 굉장히 많은 프로세스가 존재합니다.
대부분은 윈도우 운영체제 기본 프로세스들이 많이 보이지만, 몇가지 눈에 띄는 프로세스들이 보입니다.
TeamViewer.exe, TeamViewer_Des, mstsc.exe, explorer.exe, OUTLOOK.EXE
이들 모두 인터넷 브라우저, 원격접속관련 프로그램들입니다.
(약간 수상한 냄새가 납니다.)
일단 브라우저, outlook, 원격 접속 프로세스순으로 확이하도록 하겠습니다.
일단 당시 어디에 접속했는지에 대한 웹 접근 기록을 확인해 보도록 하겠습니다.
웹 접속 기록을 표로 정리하면 다음과 같습니다.
|
접속 프로세스 |
접속 URL |
접속 시간 |
|
explorer.exe |
https://ieonline.microsoft.com/favicon.ico |
Last accessed: 2015-10-09 04:28:50 UTC+0000 |
|
explorer.exe |
http://res1.windows.microsoft.com/resources/4.2/wol/shared/images/favicon.ico |
Last accessed: 2015-10-09 04:28:52 UTC+0000 |
|
explorer.exe |
http://www.bing.com/favicon.ico |
Last accessed: 2015-10-09 04:28:53 UTC+0000 |
|
OUTLOOK.EXE |
https://ieonline.microsoft.com/favicon.ico |
Last accessed: 2015-10-09 04:28:50 UTC+0000 |
|
OUTLOOK.EXE |
http://res1.windows.microsoft.com/resources/4.2/wol/shared/images/favicon.ico |
Last accessed: 2015-10-09 04:28:52 UTC+0000 |
|
OUTLOOK.EXE |
http://www.bing.com/favicon.ico |
Last accessed: 2015-10-09 04:28:53 UTC+0000 |
|
TeamViewer.exe |
https://ieonline.microsoft.com/favicon.ico |
Last accessed: 2015-10-09 04:28:50 UTC+0000 |
|
TeamViewer.exe |
http://res1.windows.microsoft.com/resources/4.2/wol/shared/images/favicon.ico |
Last accessed: 2015-10-09 04:28:52 UTC+0000 |
|
TeamViewer.exe |
http://www.bing.com/favicon.ico |
Last accessed: 2015-10-09 04:28:53 UTC+0000 |
일단, 웹 접속을 시도한 프로세스는 익프플로러, 아웃룩, 팀뷰어 세가지 존재합니다.
이들의 정보를 조금 더 뽑아내기 위해 당시 프로세스들을 덤프뜨도록 하겠습니다.
1) 아웃룩(pid = 3196, ppid = 2116)
vol.py -f Target1-1dd8701f.vmss --profile=Win7SP1x86 memdump -p 3196 -D ./dumpfile
정상적으로 덤프파일이 만들어 졌습니다.
하지만 덤프파일 상태로 파일을 읽게 될 경우 필요없는 데이터까지 읽히기 때문에 조사 시 적지않은 방해가 일어납니다.
이 파일을 strings 명령어로 문자열 추출 과정을 거치도록 하겠습니다.
지메일 형식의 문자열이 존재하는지 검색해본 결과입니다.
흠, 벌써부터 의심되는 메일이 보입니다.
한번 인증을 시도해 보도록 하겠습니다.
역시 예상이 맞았습니다.
이번 문제는 조사 관점에 초점을 맞췄다라기 보단 찍어서 풀었다라는 느낌이 강합니다.
GrrCON 2015 문제 16번까지 다 풀고 다시 한번 정리할 수 있는 시간을 만들도록 하겠습니다.
이상 ICMP였습니다!
'문제연습 > CTF-D' 카테고리의 다른 글
| Multimedia) 저는 이 파일이 내 친구와… (0) | 2021.01.12 |
|---|---|
| Multimedia) Wota (0) | 2021.01.11 |
| Multimedia) 원래 의미가 없는 것들도... (0) | 2020.12.28 |
| Multimedia) splitted (0) | 2020.12.26 |
| Multimedia) Graphics Interchange Format (0) | 2020.12.25 |