[Memory] GrrCON 2015 #1,2

#1

vmss는 가상 머신 확장 집합으로, 

여러 VM을 손쉽게 생성하고 관리할 때

리소스(트래픽) 변화에 따라 자동으로 애플리케이션 크기 조정이 필요할 때 사용한다고 한다.

vmss는 volatility를 사용해 이미지 분석이 가능하다.

 

vol.py –f [파일 이름] imageinfo

imageinfo

아마 아나콘다 설치 때문에 좀 꼬여서.. 

오류가 엄청 나지만 기다리다 보면 프로파일 정보를 얻을 수 있다.

Profile : Win7SPx86

Profile

 

vol.py -f [파일명] --profile=[프로 파일명] pstree/psscan/pslist

pstree

역시 오류가 엄청 나지만 기다리다 보면 프로세스 정보를 확인할 수 있다.

메일 관련한 프로세스를 못 찾고 있었는데 다 대문자인 프로세스가 하나 의심스럽다.

검색해보니 Outlook.exe 파일은 Microsoft Office Outlook 소프트웨어 구성 요소이지만, 해당 파일과 비슷한 이름으로 웜이 위장할 수 있다고 한다. 덤프를 떠보고 확인해보자!

 

vol.py -f [파일명] --profile=[프로 파일명] memdump -p pid -D [저장될 디렉터리]

memdump

우리가 이해할 수 있는 문자열로 변환하는 작업이 필요하다 (*su0-0su.tistory.com/36)

strings.exe x.dmp >> x.txt

strings.exe

생성된 txt 파일에서 mail 기록을 찾았다.

 

 

FLAG : th3wh1t3r0s3@gmail.com

 

 

#2

#2

 

txt 파일에서 계속 찾다보니 메일 기록이 남아있었다.

제목 : Update Your VPN Client

내용 : Hello Mr. Wellick,
In order to provide the best service, in the most secure manner, AllSafe has recently updated our remote VPN software. Please download the update from the link below.

http://180.76.254.120/AnyConnectInstaller.exe

 

인 것 같다.

 

Flag : AnyConnectInstaller.exe