이전 글에 이은 포스팅입니다.
[Wargame/ctf-d.com] - GrrCON 2015 #3
ctf-d GrrCON 2015 #3
이전 글에 이은 포스팅입니다. [Wargame/ctf-d.com] - GrrCON 2015 #2 GrrCON 2015 #2 아래 포스팅에 이은 두 번째 문제입니다. GrrCON 2015 #1 vmss: VMware Suspended State File, VMware 가상화 소프트웨어로..
hec-ker.tistory.com
지난 번 #3까지 풀었던 내용으로는 다음과 같습니다.
1) 프런트 데스크 직원들은 보안 업데이트라고 생각하고 이상한 이메일을 클릭한 것을 당신에게 보고했다. 프런트 데스크 사용자의 메일주소로 이메일을 보낸 전자 메일 주소는 무엇인가?
th3wh1t3r0s3@gmail.com
2) 공격자가 프런트 데스크 직원들의 이메일로 첨부해서 보낸 파일의 이름은 무엇인가?
AnyConnectInstaller.exe
3) 공격자는 AllSafeCyberSec 사용자들을 피싱한 것으로 보인다. 사용된 악성 코드의 이름은 무엇인가?
XtremeRAT
4) 공격자의 악성코드는 프로세스 인젝션을 사용하는 것으로 보인다. 악성코드에 인젝션된 프로세스의 PID는 무엇인가?
프로세스 인젝션은 말그대로 프로세스에 임의의 코드를 인젝션하여 악성 코드 방지를 우회하는 것입니다. 따라서 해당 프로그램을 실행하면 의도하지 않은 다른 악의성 코드도 실행되게 하는 방식입니다.
지문 키워드대로 프로세스를 살펴보기 위해 pstree를 실행해보겠습니다.
.\vol.py -f .\Target1-1dd8701f.vmss imageinfo
.\vol.py -f .\Target1-1dd8701f.vmss --profile=Win7SP0x86 pstree
이 중 수상해 보이는 프로세스가 있었습니다.
평범한 ie 프로세스로 보이지만, 이게 수상한 이유는 아래 사진을 보면 알 수 있습니다.
제가 직접 제 로컬에 ie 브라우저를 열고, Process Explorer 툴을 통해 본 것인데요.
iexplore.exe가 '트리 구조'로 실행되고 있습니다. 그런데 pstree를 통해 살펴본 것으로는 그렇지 않고 독립적으로 실행되고 있죠. 악성코드가 인젝션되어 강제적으로(독립적으로) 실행되고 있다고 판단할 수 있는 것입니다.
따라서 iexplorer.exe의 PID인 2996이 플래그입니다.
FLAG: 2996
'Wargame > ctf-d.com' 카테고리의 다른 글
| ctf-d.com google (0) | 2020.09.21 |
|---|---|
| ctf-d GrrCON 2015 #5 (0) | 2020.09.06 |
| ctf-d GrrCON 2015 #3 (0) | 2020.08.30 |
| ctf-d Find Key(Image) (0) | 2020.08.25 |
| 오른쪽 위의 표지판을 읽을 수... (0) | 2020.08.12 |