홀리쉴드 2016? forensic memory :)

어쩌다 보니 찾게 된문제!!!

풀어보자 !!

근데 맞게 푸는지를 모르겠다 :( 

문제는 

Auth : MalwarePid_C&C_Attacker.Server

ex) 123_http://www.naver.com/index.php_1.2.3.4

Hint) No Parameter

Hint-2) Attacker.Server on the Memory

Hint-3) Attacker.Server is pharming Server

이렇게 란다.

시작하자 !! 크와아아앙 나와라 ! volatility!!!!

먼저 imageinfo 를 통해 profile과 메모리 덤프파일 생성 시간을 확인 후

pslist명령어를 통해 프로세스 리스트를 확인 해보았다.

보다보니 attrib.exe를 보고 무슨 파일인지 의문 이생겼다.

바로 구글로 달려가는 센스 :)

이러한 글을 보고 아하!! 악성코드 :) 분명 문제 힌트에도 파밍이라 나왔겠다 !!!!

그럼 다음으로 할 C&C서버 찾기인데 일단 연결된 네트워크를 보기위해 connscan을 하니 2148 iexplore를 보고 오잉?또잉?

두개만 따로 볼꾸양 :) 먼가 이건 hosts파일 ? 그래서 바로 filescan | grep hosts

해서 바로 ㅍㅏ일을 다운 다운다운!!!~~~~~~~~~

짜잔 ~!!! 나왔느니라!

sublime text로 여니깐 아까 connscan에서 많이본 ip다.

어디로 접속하든 저아이피로 드가게 해놨구놔! 너란남자 

그래서 yarascan -Y를 이용하여 이로쿵저로쿵!

찾았다 요놈!! 

끄읏 ! 맞는지는 모르겠지만 ...