Lucete

홀리쉴드 2016? forensic memory :) 본문

Wargame/CTF(Capture The Flag)

홀리쉴드 2016? forensic memory :)

z3alous 2017.01.11 02:11



어쩌다 보니 찾게 된문제!!!


풀어보자 !!


근데 맞게 푸는지를 모르겠다 :( 

문제는 

Auth : MalwarePid_C&C_Attacker.Server

ex) 123_http://www.naver.com/index.php_1.2.3.4


Hint) No Parameter

Hint-2) Attacker.Server on the Memory

Hint-3) Attacker.Server is pharming Server


이렇게 란다.

시작하자 !! 크와아아앙 나와라 ! volatility!!!!


먼저 imageinfo 를 통해 profile과 메모리 덤프파일 생성 시간을 확인 후


pslist명령어를 통해 프로세스 리스트를 확인 해보았다.



보다보니 attrib.exe를 보고 무슨 파일인지 의문 이생겼다.

바로 구글로 달려가는 센스 :)



이러한 글을 보고 아하!! 악성코드 :) 분명 문제 힌트에도 파밍이라 나왔겠다 !!!!



그럼 다음으로 할 C&C서버 찾기인데 일단 연결된 네트워크를 보기위해 connscan을 하니 2148 iexplore를 보고 오잉?또잉?




두개만 따로 볼꾸양 :) 먼가 이건 hosts파일 ? 그래서 바로 filescan | grep hosts



해서 바로 ㅍㅏ일을 다운 다운다운!!!~~~~~~~~~



짜잔 ~!!! 나왔느니라!




sublime text로 여니깐 아까 connscan에서 많이본 ip다.

어디로 접속하든 저아이피로 드가게 해놨구놔! 너란남자 


그래서 yarascan -Y를 이용하여 이로쿵저로쿵!




찾았다 요놈!! 




끄읏 ! 맞는지는 모르겠지만 ...

2 Comments
댓글쓰기 폼