seccon2016 - Memory Analysis_100

Memory Analysis

100 points

Memory Analysis
Find the website that the fake svchost is accessing.
You can get the flag if you access the website!!

memoryanalysis.zip
The challenge files are huge, please download it first. 

Hint1: http://www.volatilityfoundation.org/
Hint2: Check the hosts file

password: fjliejflsjiejlsiejee33cnc 

이것이 문제인데 ... 파일을 받으면 

이미지 파일 하나를 받을 수 있다.

힌트 1번을 보면 볼라틸리티를 이용하여 푸는 것같다.

먼저 이미지 정보를 보기위해 imageinfo라는 명령어를 이용하여 정보를 본다.

그럼 WinXPSP3x86이라는 것을 알 수 있다.

다음은  실행되고 있는 프로세스를 보기위해 pstree라는 명령어를 이용하여 프로세스 정보를 본다.

보던중  svchost, IEXPLORE라는 프로세스를 확인하고 연결상태를 확인하기 위해 connscan 명령어를 사용하여 확인하니 Pid 1080 이 수상하게 여겨졌다.

그 후 힌트 2번을 보면 호스트 파일을 체크하라는 것을 보고 filescan을 이용하여 호스트 파일을 찾아

파일을 덤프 해 보았다.

파일을 서브라임 텍스트로 열어 확인을 하니

153.127.200.178 아이피 crattack.tistory.com을 확인하여 

yarascan 을 이용하여 아까 수상하게 본 Pid 1080을 스캔을 해보았다.

그러던 중 crattack.tistory.com/entry/Data-Science-import-pandas-as-pd 를 찾게 되어 curl을 이용하여 정보를 확인 했지만 

플래그가 없었다...

그러던 중 생각난 153으로 시작하는 아이피를 주고 다시 시도 하니 

뚜둥!!! :)