본문 바로가기

Forensics/CTF11

[Memory] GrrCON 2015 #6 필요한 정보 1. 멀웨어가 사용하는 레지스트리 키 : MrRobot (su0-0su.tistory.com/89) 2. 인젝션 된 프로세스 : IEXPLORE.EXE (su0-0su.tistory.com/87) C&C 서버란, 감염된 좀비 PC가 공격자가 원하는 공격을 수행하도록 원격지에서 명령을 내리는 서버를 뜻한다. 예전에 Formbook 악성코드에 대해 살펴본 적이 있는데, Formbook 악성코드는 인젝션한 프로세스를 통해 동작하고, C&C 서버에 정보를 전송한다. -> 인젝션 된 프로세스를 살펴보자 3번 문제를 통해 알게 된 정보로, 인젝션 된 프로세스는 iexplore.exe이다. pstree로 iexplore.exe의 pid를 확인한다. -> 2996 memdump를 사용해 덤프파일을 생성하고.. 2021. 5. 5.
[Memory] GrrCON 2015 #5 레지스트리 Key의 이름을 물어본다. 레지스트리는 시스템, 사용자, 프로그램, 서비스, 드라이버 등 PC 운용에 반드시 필요한 정보들을 저장해둔 설정값의 집합이다. 레지스트리는 대부분 하이브라고 불리는 파일 세트에 들어가 있다. Volatility 기능 중 하이브를 알기 위해서는 hivelist 명령어가 필요하다. hivelist : 레지스트리 하이브의 물리 주소, 가상 주소, 경로를 포함한 이름 출력. 이때 나온 가상 주소가 특정 레지스트리에 대한 플러그인을 실행할 때 필요하다. ntuser : 레지스트리의 HKEY_USERS에 해당하는 하이브파일 'C:₩Users₩' 사용자 폴더 에 사용자 계정마다 각각 존재한다. 하지만 파일은 사용자가 로그인되는 동안 시스템에서 사용하기 때문에 ntuser.dat를.. 2021. 5. 5.
[Memory] GrrCON 2015 #4 프로세스 인젝션 == Process Hollowing (프로세스 교체 및 실행) : 악성코드가 대상 프로세스의 메모리에서 합법적인 코드를 매핑 해제(비우기)하고 대상 프로세스(예 : svchost.exe)의 메모리 공간을 악성 실행 파일로 덮어쓸 때 발생 의심스러운 프로세스를 찾아보자 pstree 명령어를 통해 트리 구조로 살펴본다. 부모 프로세스 없이 단독으로 돌아가는 프로세스들을 중점으로 분석하는 것이 좋다 악성코드는 정상적인 프로세스(winlongon.exe, services.exe, svchost.exe, explorer.exe, etc)에 몰래 들어가 악의적인 행동을 한다. 그 중 explorer.exe의 하위 프로세스에는 iexplore.exe가 존재한다. 그런데 pstree로 볼 수 있는 구.. 2021. 4. 30.
[DISK] 이벤트 예약 웹사이트를 운영하고… #C 공격자 주소(IP)를 찾아보자 공격자의 주소인 IP는 네트워크 정보를 추적한 isof 파일에 있을 가능성이 높다. [network]-isof 파일 #B에서 찾아낸 PID인 5245를 검색해보면 어떤 IP에서 다른 IP로 통신한 기록이 있다. 뒤의 IP가 공격자의 IP일 가능성이 높다. KEY : 144.206.162.21 어떻게 문제를 만들었을까? blog.system32.kr/m/93?category=712896 [NEWSECU] 2020 NEWSECU CHALLENGE - iOS Disk Forensics 제작 배경 blog.system32.kr -> Magnet ACQUIRE 툴 사용해서 디스크 정보가 들어간 폴더 생성 support.magnetforensics.com/s/software-and-d.. 2021. 4. 30.
[DISK] 이벤트 예약 웹사이트를 운영하고... #A 공격자가 웹페이지 소스코드를 유출한 시간은? [account]-history 파일에서 chmod 777로 모든 권한을 주는 의심스러운 명령어를 확인할 수 있다. /var/www/upload/editor/image 2021. 4. 30.
[DISK] 이벤트 예약 웹사이트를 운영하고… #B 리버스쉘을 동작시키는 프로세스 ID를 찾아보자 프로세스 정보인 PID는 process 폴더의 ps_eaf에 있다. 의심되는 프로세스가 2개 있다. 5244는 쉘 명령어 옵션을 주고 5245가 실제 php 명령을 실행하는 프로세스라고 볼 수 있다. KEY : 5245 2021. 4. 30.

티스토리툴바