ctf-d GrrCON 2015 #3

이전 글에 이은 포스팅입니다.

[Wargame/ctf-d.com] - GrrCON 2015 #2

GrrCON 2015 #2

지난 번 #2까지 풀었던 내용으로는 다음과 같습니다.

1) 프런트 데스크 직원들은 보안 업데이트라고 생각하고 이상한 이메일을 클릭한 것을 당신에게 보고했다. 프런트 데스크 사용자의 메일주소로 이메일을 보낸 전자 메일 주소는 무엇인가?

th3wh1t3r0s3@gmail.com

2) 공격자가 프런트 데스크 직원들의 이메일로 첨부해서 보낸 파일의 이름은 무엇인가?

AnyConnectInstaller.exe

---

3) 공격자는 AllSafeCyberSec 사용자들을 피싱한 것으로 보인다. 사용된 악성 코드의 이름은 무엇인가?

먼저, 지난 번 찾은 'AnyConnectInstaller.exe' 이라는 악성 파일의 내용을 찾아봐야겠죠.

.\volatility_2.6_win64_standalone.exe -f '.\Target1-1dd8701f.vmss' imageinfo

imageinfo로 찾은 OS 정보는 Win7SP1x86_23418 입니다.

 

이 정보를 활용해서 이번에는 파일의 위치를 찾을 것입니다. #2 문제 답이었던 "AnyConnectInstaller.exe"을 찾아봅시다.

 

.\volatility_2.6_win64_standalone.exe -f '.\Target1-1dd8701f.vmss' --profile=Win7SP1x86_23418 filescan | findstr "AnyConnectInstaller.exe"

얻은 메모리 주소값을 사용해, 덤프를 떠줄 것입니다.

총 6개의 값이 출력되었는데 일단 가장 첫 번째 주소로 시도해볼게요.

.\volatility_2.6_win64_standalone.exe -f '.\Target1-1dd8701f.vmss' --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003df12dd0 -D ./

아래와 같은 dat 파일이 하나 나왔습니다.

strings.exe로 포함된 문자열을 추출해보겠습니다.

.\strings64.exe .\file.None.0x85d0ed60.dat

별다른 문자열을 찾지 못해서.. 두 번째 주소로도 시도해봤습니다.

.\volatility_2.6_win64_standalone.exe -f '.\Target1-1dd8701f.vmss' --profile=Win7SP0x86 dumpfiles -Q 0x000000003df1cf00 -D ./

방금은 dat 파일 하나만 나왔었는데, 이번에는 img 파일까지 두 개가 추출되었습니다.

 

이번에도 strings.exe를 통해 dat 파일의 문자열을 추출해봤는데, 파일에 바이러스를 발견했다고 합니다.

.\strings64.exe .\file.None.0x85d12b18.dat

 

이제 여기에 포함된 악성 코드의 이름만 찾으면 되겠네요!

이번에는 VirusTotal을 사용해보겠습니다.

https://www.virustotal.com/gui/home

VirusTotal

먼저 dat 파일입니다.

바이러스라고 인식은 하지만, 딱히 코드라고 보이는 특정한 문자열은 찾지 못했습니다.

이번엔 이미지 파일입니다.

dat 파일과는 다르게, 계속 반복되는 문자열을 발견할 수 있었습니다.

"XTRAT"

검색해본 결과 확실히 malware 였습니다.

 

그런데 XTRAT 자체로는 플래그가 아니라고 떠서 다른 블로그를 참고해보니, XTRAT의 풀넴(?)인 XtremeRAT 이라고 합니당ㅎ