이전 글에 이은 포스팅입니다.
[Wargame/ctf-d.com] - GrrCON 2015 #4
ctf-d GrrCON 2015 #4
이전 글에 이은 포스팅입니다. [Wargame/ctf-d.com] - GrrCON 2015 #3 ctf-d GrrCON 2015 #3 이전 글에 이은 포스팅입니다. [Wargame/ctf-d.com] - GrrCON 2015 #2 GrrCON 2015 #2 아래 포스팅에 이은 두 번째 문..
hec-ker.tistory.com
1) 프런트 데스크 직원들은 보안 업데이트라고 생각하고 이상한 이메일을 클릭한 것을 당신에게 보고했다. 프런트 데스크 사용자의 메일주소로 이메일을 보낸 전자 메일 주소는 무엇인가?
th3wh1t3r0s3@gmail.com
2) 공격자가 프런트 데스크 직원들의 이메일로 첨부해서 보낸 파일의 이름은 무엇인가?
AnyConnectInstaller.exe
3) 공격자는 AllSafeCyberSec 사용자들을 피싱한 것으로 보인다. 사용된 악성 코드의 이름은 무엇인가?
XtremeRAT
4) 공격자의 악성코드는 프로세스 인젝션을 사용하는 것으로 보인다. 악성코드에 인젝션된 프로세스의 PID는 무엇인가?
2996
5) 재부팅 후에도 지속성을 유지하기 위해 멀웨어가 사용하고 있는 레지스트리 Key의 이름은 무엇인가?
재부팅 후에도 자동실행되게 하려면 HKEY_LOCAL_MACHINE의 Run 레지스트리에 등록해야 합니다. Run 레지스트리의 전체 경로는 아래와 같습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
printkey 플러그인의 -K 옵션을 이용하여 출력해보겠습니다.
2번 문제였던 AnyConnectInstaller.exe라는 실행 파일 이름과 함께 레지스트리 Key 명이 보입니다.
flag: MrRobot
'Wargame > ctf-d.com' 카테고리의 다른 글
| ctf-d.com DOS 모드에서는.. (0) | 2020.09.21 |
|---|---|
| ctf-d.com google (0) | 2020.09.21 |
| ctf-d GrrCON 2015 #4 (0) | 2020.09.06 |
| ctf-d GrrCON 2015 #3 (0) | 2020.08.30 |
| ctf-d Find Key(Image) (0) | 2020.08.25 |