어쩌다 보니 찾게 된문제!!!
풀어보자 !!
근데 맞게 푸는지를 모르겠다 :(
문제는
Auth : MalwarePid_C&C_Attacker.Server
ex) 123_http://www.naver.com/index.php_1.2.3.4
Hint) No Parameter
Hint-2) Attacker.Server on the Memory
Hint-3) Attacker.Server is pharming Server
이렇게 란다.
시작하자 !! 크와아아앙 나와라 ! volatility!!!!
먼저 imageinfo 를 통해 profile과 메모리 덤프파일 생성 시간을 확인 후
pslist명령어를 통해 프로세스 리스트를 확인 해보았다.
보다보니 attrib.exe를 보고 무슨 파일인지 의문 이생겼다.
바로 구글로 달려가는 센스 :)
이러한 글을 보고 아하!! 악성코드 :) 분명 문제 힌트에도 파밍이라 나왔겠다 !!!!
그럼 다음으로 할 C&C서버 찾기인데 일단 연결된 네트워크를 보기위해 connscan을 하니 2148 iexplore를 보고 오잉?또잉?
두개만 따로 볼꾸양 :) 먼가 이건 hosts파일 ? 그래서 바로 filescan | grep hosts
해서 바로 ㅍㅏ일을 다운 다운다운!!!~~~~~~~~~
짜잔 ~!!! 나왔느니라!
sublime text로 여니깐 아까 connscan에서 많이본 ip다.
어디로 접속하든 저아이피로 드가게 해놨구놔! 너란남자
그래서 yarascan -Y를 이용하여 이로쿵저로쿵!
찾았다 요놈!!
끄읏 ! 맞는지는 모르겠지만 ...
'Wargame > CTF(Capture The Flag)' 카테고리의 다른 글
CTF forensic(Recovering From the Snap) 문제 (1) | 2019.01.01 |
---|---|
hackover CTF I AM MANY write up :) (0) | 2018.10.09 |
어디 문제인지 까묵은 문제... (0) | 2017.01.11 |
RC3CTF_300_Breaking News (0) | 2016.12.16 |
seccon2016 - Memory Analysis_100 (0) | 2016.12.13 |
댓글2