문제 : Find the Flag
Auth : MalwarePid_C&C_Attacker.Server
ex) 123_http://www.naver.com/index.php_1.2.3.4
Forensic 문제로,
memory.vmem(가상 머신 페이징 파일의 백업파일)을 준다. 사용한 툴은 볼라틸리티를 이용했다.
시스템의 윈도 버전과 메모리 덤프 파일의 생성 시간을 확인할 수 있다.
pstree 명령을 이용하면 "attrib.exe" 를 볼 수 있다. 구글에 검색해보면 파밍 목적의 악성코드임을 알 수 있다. pid = 188
파밍을 목적으로 한다면 "hosts" 파일을 변조한다고 생각하여 filescan 명령을 사용했다.
해당 파일일 추출했더니 다수의 사이트에 접속했을 때 23.110.25.241 로 가도록 되어있다.
yarascan 명령을 이용하여 C&C Server 를 알아낼 수 있다.
'ctf' 카테고리의 다른 글
[HolyShield 2016 CTF] Trip around the world (0) | 2016.01.22 |
---|---|
[HolyShield 2016 CTF] Unreadable Table (0) | 2016.01.21 |
[CodeGate 2013 CTF] binary 100 (1) | 2016.01.04 |
[CSAW 2013 CTF] DotNetRevering.exe (0) | 2016.01.04 |
[CSAW 2013 CTF] csaw2013reversing1.exe (0) | 2015.12.31 |