728x90
문제를 보겠습니다.
문제를 보면 프로세스 인젝션을 사용하는 것으로 보인다고 한다.
프로세스 인젝션에 대해서 간략히 설명을 드리자면, 악성코드 및 파일 없는 공격자 트레이드크래프트(Fileless Adversary Tradecraft)에서 자주 사용되는 광범위한 방어 회피 기술입니다.
예로 인터넷 익스플로러를 떠올려 보겠습니다.
과거 매그니베르 악성코드는 인터넷 익스플로러 프로세스에 Injection하여(Fileless) 사용자의 PC에 악성 파일을 남기지 않고 파일들을 암호화하는 행위를 했습니다. 이처럼 정상적인 프로세스에 숨어 있는? 악성파일 입니다.
pstree 플러그인을 사용해서 보겠습니다.
pstree를 분석했을 때는 솔직히 파악하기 힘들 것 같습니다. 그래서 똑같이 익스플로러를 실행시켜서 Process Explorer 프로그램으로 직접 분석을 했습니다.
위 pstree에서는 iexplore.exe가 따로 프로세스를 가지는데, 이 프로그램에서는 explorer.exe안에 하위 트리로 보입니다.
이로써 결국엔 iexplore.exe가 혼자 실행이 되고 있는것으로 보아 악성코드에 인젝션 된 프로세스임을 알 수 있다.
FLAG : 2996
728x90
'CTF-D > Memory' 카테고리의 다른 글
| [Memory GrrCon 2015 #6 (0) | 2022.07.08 |
|---|---|
| [Memory] GrrCon 2015 #5 (0) | 2022.07.08 |
| [Memory] GrrCon 2015 #3 (0) | 2022.07.08 |
| [Memory] GrrCon 2015 #2 (0) | 2022.07.08 |
| [Memory] GrrCon 2015 #1 (0) | 2022.07.08 |