문제를 보겠습니다.
문제를 보면, 프런트 데스크 PC를 손상시키기 위해서 도구를 옮겼다. 도구들은 무엇인가?
도구를 옮겼다는 것은, 컴퓨터 내부에 exe파일이 있음을 알고, dir에 나열된 모든 파일을 보기 위해서 consoles 플러그인을 사용했습니다.
consoles 플러그인의 특징은 다음과 같습니다.
cmdscam과 유사하게 콘솔 플러그인은 공격자가 cmd.exe에 입력하거나 백도어를 통해 실행한 명령을 찾습니다.
이 플러그인은 COMMAND_HISTORY를 검색하는 대신 CONSOLE_INFORMATION을 검색합니다. 이 플러그인의 주요 장점은 공격자가 입력한 명령을 인쇄할 뿐만 아니라 전체 화면 버퍼(입력 및 출력)를 수집한다는 것입니다. 예를 들어, "dir"을 보는 대신 "dir" 명령으로 나열된 모든 파일과 디렉토리를 포함하여 공격자가 본 것을 정확히 볼 수 있습니다.
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 consoles
exe 확장자로 된 4개의 실행 파일이 존재하는데, g로 시작되는 실행 파일은 제외하라고 적혀있으니, nbtscan.exe, Rar.exe, wce.exe가 되겠네요!!
FLAG : nbtscan.exe, Rar.exe, wce.exe
'CTF-D > Memory' 카테고리의 다른 글
| [Memory] GrrCon 2015 #12 (0) | 2022.07.09 |
|---|---|
| [Memory] GrrCon 2015 #11 (0) | 2022.07.09 |
| [Memory] GrrCon 2015 #9 (0) | 2022.07.08 |
| [Memory] GrrCon 2015 #8 (0) | 2022.07.08 |
| [Memory] GrrCon 2015 #7 (0) | 2022.07.08 |