[N0Named CTF - Write Up[A]] Infect

이번 시간에는 Infect 문제를 풀어보겠습니다. 먼저 문제를 보겠습니다.

악성코드에 감염된 PC이다. 악성프로그램을 찾아 파일명과 실행시각을 알아내라!!!

KST기준으로 설정하라는거니까 UTC + 9를 하면되겠죠 ㅎㅎ 주어진 파일을 다운받아 봅시다.

ad1이라는 확장자명을 가지고 있네요?? ad1 파일은 이미징 도구를 통해서 분석을 해야 하는겁니다. 주로 알려진 이미징 도구는 FTK Imager인데 설치 방법은 따로 설명하지 않겠습니다. 그럼 FTK Imager를 이용해서 분석을 해보겠습니다.

도구를 이용해서 infect.ad1 파일을 불러오면 이런 화면이 나옵니다. 보통 로그 기록을 확인해야 하지만 해당 폴더에는 로그 기록이 있지 않았습니다. 왜냐하면 (/root/$Logfile/$MFT/$Extend/$UsnJrnl:$J)가 없기 때문입니다.

문제를 잘 보니 악성프로그램을 찾으라고 하였는데, 악성프로그램이 아무 행동을 하지 않았는데 생긴다는것은 말이 안되는 소리이기 때문에 우리는 인터넷 기록을 찾아보기 위해 인터넷 브라우저인 Chrome에서 기록 파일인 History파일을 추출해서 분석을 해보겠습니다. 파일의 위치는 이것입니다.

root -> Users -> swing -> AppData -> Local -> Google -> Chrome -> User Data -> Default에 History 파일 존재하는데 History 파일을 추출해서 DB Brower for SQLite로 봅시다.

DB browser for SQLite History file open

잘 찾아보면 urls, keyword_search_t...이라고 적혀있는게 보이실텐데, 정확히 파악을 하기 위해 데이터분석을 해보겠습니다. 밑에 사진을 보면 들어간 url과 검색을 한 내용이 적혀있습니다.

Search

URL

검색을 한 내용을 보면 가상머신 "크랙"버전??을 입력해서 dodnet.tistory.com 사이트에서 프로그램을 하나 다운 받고 실행을 시켰는데 랜섬웨어에 감염되었다는 사실을 확인 할 수 있습니다. (유저는 멍청인가..???)

크롬을 통해서 프로그램을 다운 받은걸 확인 했으니 그럼 다시 FTK Imager로 돌아가서 프로그램을 찾아야 하는데 어디서 부터 찾아야 할 지 모르니까 우리는 보통 프로그램이 다운을 하면 바탕화면에 설치가 되니까 바탕화면으로 가보겠습니다.

 Custom Content Image -> swing.vmdk:Partition 2 -> root -> Users -> Desktop

어라..? VboxTester.exe라는 파일이 하나 존재합니다. (의심이 가는군요..) 일단 의심이 가는 실행파일이 하나를 기억해두고 우리는 정확한 실행시각을 확인 하기 위해서 root -> Windows -> Prefetch 로 가서 pf파일을 분석해보겠습니다. pf 파일을 분석할 때는 해당 프로그램의 명을 찾아가면 됩니다.

찾아가본 결과 pf파일이 존재하는것을 알 수 있습니다. 그전에 프리패치 파일이 무엇인지 간략하게 알아봅시다.

 

Prefetch file이란?

  시스템에서 실행된 응용프로그램을 분석할 때 유용하게 쓰이는 파일로, Windows에서만 존재합니다. 즉, 실행 파일이 사용하는 시스템 자원을 특정 파일에 미리 저장을 한 것이 프리패치 파일입니다.

 

우리는 아까 찾아놓은 VboxTester.exe를 추출해서 바이러스인지 아닌지 Windows defender가 감지를 할 수 있는 방법도 있지만 위험성이 있기 때문에 Prefetch파일을 분석할 수 있게 해주는 WinPrefcetView라는 도구를 사용해서 보겠습니다. 바로 VBOXTESTER.EXE에 대한 PF파일을 추출해서 보겠습니다.

이렇게 우리는 프로그램이 마지막으로 실행된 시간을 알 수 있다. Modified Time이 최종 실행 시간이니까 저걸 확인하면 됩니다. 그리고 아까 우리가 FTK Imager프로그램을 통해서도 시간을 확인할 수 있습니다.

여기 나와 있지만 저는 멍청해서 시간낭비를 좀 했네요 ㅎㅎㅎ...그럼 포맷 형식에 따라 flag값을 입력 하시면 됩니다. 다음 시간에는 "수상한 메일"에 대해서 롸업 포스팅 하겠습니다!! 즐거운 하루 되세요!!