[2023.05.06] 인프런 강의 section2 CTF-d, GrrCon 2015 풀이 및 디지털 포렌식 문제 풀이

일시: 2023.05.08

부원: 남현정, 이수미, 이유빈, 이은빈

 

CTF-d, GrrCon 2015 풀이

포렌식 → 해킹기법에 대한 이해, 운영체제 전반, 컴퓨터적인 전공지식

Volatility

• imageinfo : 메모리의 운영체제를 식별
• pslist : 시간 순서대로 출력
• psscan : 숨김 프로세스를 볼 수 있음
• pstree : PID, PPID 기반으로 구조화해서 보여줌
• psxview : pslist, psscan을 한눈에 볼 수 있음, 숨김 프로세스 찾는 데에 사용

---

(Windows xp)

• connections : "현재 연결된" TCP 통신에 대한 정보
• sockets : 응답받기를 기다리고 있는 모든 프로토콜에 대한 socket 정보

---

• netscan
• cmdline : 프로세스가 실행될 때 인자값
• cmdscan : 콘솔에 입력한 값들을 실제로 볼 수 있음
• consoles : 콘솔에서 입력 & 출력한 값들을 실제로 볼 수 있음
• filescan : 메모리 내에 존재하는 모든 파일에 대한 정보
• dumpfiles : 프로세스의 메모리 덤프 추출 → strings로 변환해서 키워드 검색
• procdump : 프로세스의 exe 파일 추출

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss imageinfo

Win7SP0x86

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss --profile=Win7SP0x86 pslist > pslist.log

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss --profile=Win7SP0x86 psscan > psscan.log

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss --profile=Win7SP0x86 pstree > pstree.log

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss --profile=Win7SP0x86 psview > psview.log

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss --profile=Win7SP0x86 psxview > psxview.log

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss --profile=Win7SP0x86 netscan > netscan.log

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss --profile=Win7SP0x86 cmdline > cmdline.log

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss --profile=Win7SP0x86 cmdscan > cmdscan.log

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss --profile=Win7SP0x86 consoles > consoles.log

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss --profile=Win7SP0x86 filescan > filescan.log

pstree 먼저 보는 게 좋음

mstsc.exe

원격 데스크톱 연결 파일

explorer.exe

탐색기

탐색기로 cmd 열기<수상

OUTLOOK.EXE

메일 관련 소프트웨어

악성코드 이슈

iexplore.exe

인터넷 익스플로러

인터넷 익스플로러로 cmd 열기<수상

tv_w32.exe 부터 확인 → 메모리 덤프 뜨기

mkdir dumps

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss --profile=Win7SP0x86 memdump -p 4064 -D .\\dumps\\

관리자로 권한 상승

runas /profile /user:Administrator

봐야 할 파일 목록

• outlook.exe
• tv_w32.exe
• C:\Windows\Temp\wce.exe
• C:\Windows\Temp\w.tmp

wce.exe 덤프 추출

filescan.log에서 ctrl + f로 파일 오프셋 값 구하기

0x000000003df31038

mkdir files

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss --profile=Win7SP0x86 dumpfiles -Q 0x000000003df31038 -D files -n

w.tmp 덤프 추출

filescan.log에서 ctrl + f로 파일 오프셋 값 구하기

0x000000003eca37f8

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss --profile=Win7SP0x86 dumpfiles -Q 0x000000003eca37f8 -D files -n

바이러스 토탈에 검색해보면 wce.exe는 악성 프로그램

outlook.exe

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss --profile=Win7SP0x86 memdump -p 3196 -D .\\dumps\\

strings.exe .\\dumps\\3196.dmp > strings_3196.log

th3wh1t3r0s3@gmail.com

volatility_2.6_win64_standalone.exe -f .\\Target1-1dd8701f.vmss --profile=Win7SP0x86 memdump -p 2996 -D .\\dumps\\

공격 흐름

아웃룩 메일 → AnyConnectInstaller.exe → wce.exe w.tmp(관리자 패스워드) → mstsc.exe

 

 

[xcz.kr] prob3

https://exciting-cobalt-591.notion.site/prob3-2f0ec2770ed84fe480a84e3cae9ae36b

prob3

[suninatas] 26

https://starlight-drop-12h.notion.site/6-26-f2679869db334e8b8c7e84b6f106443a

6주차 - 써니나타스#26

[suninatas] 19

https://nine-heron-ae1.notion.site/SuNiNaTaS-19-a8fff290ef8f4e12a07c19fdc893ba22

[SuNiNaTaS]#19

[xcz.kr] prob27

문제 파일을 FTK Imager로 열어보고

의심스러운 파일을 찾아보면 Outlook 파일을 발견할 수 있다.

그 중 Outbox.dbx에 기밀 문서를 유출하는 이메일이 담겨있는 것을 알 수 있었다.

Hi boss,

open the file. 

이라는 텍스트와 confidential.doc 파일을 첨부했다는 대략적인 정황은 알 수 있었으나 

첨부파일 카빙 및 자세한 dbx 파일 분석을 위해 관련 프로그램을 다운로드해준다.

http://www.mitec.cz/mailview.html

해당 툴을 통해 첨부된 파일을 다운 받을 수 있다.

파일 안에 하얀색 글씨로 key값이 감춰져 있었다.

Out10OkExpr3s5M4i1