비전공자의 포렌식일기

문제를 보겠습니다. 문제를 보면, 시스템에 원격으로 접근하는 방법은 여러가지가 있는데, 그 중 공격자가 원격 접근 방식을 사용했다. 연결한 IP 주소는 무엇인가?? 결국엔, 클라이언트 원격 관리 서비스의 이름을 가진 프로그램을 찾아야 하는데, 일단 팀뷰어를 가지고 원격을 접속하고, 또 프로그램을 실행한 것으로 보아 netscan 플러그인을 사용하겠습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 netscan 다양한 네트워크 흔적들을 보았을 때, 팀뷰어를 실행하고 난 후 프로세스들을 보면 outlook, mstsc 등등 있는데, mstsc는 마이크로소프트에서 구성하는 터미널 클라이언트 원격..

문제를 보겠습니다. 문제를 보시면, 원격 관리 소프트웨어를 설치했다고 한다. 원격 관리 소프트웨어를 찾아보자! 플러그인은 14번 문제와 동일하게 netscan입니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 netscan 보시면, TeamViewer라는 프로그램이 실행이 되고 있음을 알 수 있습니다. 팀뷰어는 컴퓨터 간 원격 제어, 데스크톱 공유, 파일 전송을 위한 컴퓨터 소프트웨어 패키지입니다. FLAG : Teamviewer.exe

문제를 보겠습니다. 이번 문제에서는 공격자의 멀웨어가 사용한 IP 전체 주소와 포트는 무엇인가? 라고 물어봤기 때문에 네트워크 관련된 플러그인을 사용하면 됩니다. 그래서 netscan 플러그인을 사용해보겠습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 netscan 우리가 이전에 풀었던 문제들을 보면, 악성 파일의 이름은 Any~~였고, 프로세스 인젝션 된 것은 iexplore.exe였습니다. 그래서 해당 플러그인을 사용하면, IP 주소와 포트를 찾을 수 있었습니다. FLAG :180.76.254.120:22

문제를 보겠습니다. 문제를 보시면, nbtscan.exe 프로세스를 통해서, nbt.txt라는 텍스트 파일로 저장을 했다는 것을 알 수 있었다 그럼 명령어가 ./nbtscan.exe > nbt.txt 이렇게 되어있는 것 같은데, 찾아보니까 파일이 존재하지 않았습니다. 그래서 출제자가 문제를 낼 때, 에러를 범했을 것이라고 생각이 들어 txt파일만 다 찾아봤습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 filescan | findstr ".txt" 하니까 많은 txt파일이 출력이 되는데, 그 중 비슷하게 생긴 nbs.txt가 눈에 들어왔습니다. 그래서 dumpfiles 명령어를 가지고, ..

문제를 보겠습니다. netscan.exe의 타임 스탬프를 말하는데, 실제로 문제에 오타가 있는 것 같습니다. 그래서 아까 찾았던 3개의 실행 파일 중, nbtscan.exe임을 깨닫고, mftpaser를 통해서 출력한 엑셀 파일에서 찾아보겠습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 mftparser | findstr "nbtscan.exe" 타임스탬프를 찾을 수 있었습니다. FLAG :2015-10-09 10:45:12

문제를 보겠습니다. 프런트 데스크 로컬 관리자의 계정 암호를 찾는것이 문제입니다. 이 문제는 엉겹결에? 푼것같지만, 전에 사용했던 consoles 플러그인을 사용했을 때, 나오는 값을 보시면, 답을 찾을 수 있었습니다. FLAG : flagadmin@1234\ 다른 방법으로 풀고 싶다면, 이렇게 푸시면 됩니다. cmdscan 플러그인을 사용합니다. 그럼 위 보시는 사진과 같이 값이 출력이 되는데, w.tmp에 뭔가를 -w 옵션을 준 것으로 보아 뭘 썼습니다. 그래서 filescan 플러그인을 활용해서 w.tmp에 대한 오프셋 주소를 찾아서 dumpfiles로 덤프를 뜨시면 찾아볼 수 있습니다.

문제를 보겠습니다. 문제를 보면, 프런트 데스크 PC를 손상시키기 위해서 도구를 옮겼다. 도구들은 무엇인가? 도구를 옮겼다는 것은, 컴퓨터 내부에 exe파일이 있음을 알고, dir에 나열된 모든 파일을 보기 위해서 consoles 플러그인을 사용했습니다. consoles 플러그인의 특징은 다음과 같습니다. cmdscam과 유사하게 콘솔 플러그인은 공격자가 cmd.exe에 입력하거나 백도어를 통해 실행한 명령을 찾습니다. 이 플러그인은 COMMAND_HISTORY를 검색하는 대신 CONSOLE_INFORMATION을 검색합니다. 이 플러그인의 주요 장점은 공격자가 입력한 명령을 인쇄할 뿐만 아니라 전체 화면 버퍼(입력 및 출력)를 수집한다는 것입니다. 예를 들어, "dir"을 보는 대신 "dir" 명령으로..

문제를 보겠습니다. 관리자 계정의 NTLM 암호 해시를 찾아야 하는데, volatility는 hash를 덤프해주는 hashdump 플러그인이 있습니다. hashdump는 SAM 파일을 추출할 때 쓰이는 명령이고, 사용자의 암호 해쉬값을 찾을 수 있습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 hashdump Flag : aad3b435b51404eeaad3b435b51404ee:79402b7671c317877b8b954b3311fa82

문제를 보겠습니다. 문제를 이해하기 어려웠지만, 계속 보니까 이해를 하게되었습니다. 쉽게 설명을 하자면 시스템에 악명 높은 해커의 정보가 존재한다. 즉, 시스템에 존재하는 사용자 계정 중 하나일것으로 추정이 되고, 그 사용자명이 나오는 영화의 이름이 무엇인지 찾는 것이다. 그럼 사용자 계정을 보기 위해서는 레지스트리에서 SAM 파일을 뜯어봐야 되는데, 굳이 그러지 않아도 mft 파일을 뜯어보면 파일, 메타 데이터 등 다양한 정보들을 저장하고 있기 때문에 mftparser 플러그인을 사용해보겠습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 mftparser > mftparser.csv 데이터가 엄청 많기 때문에 csv로 ..

문제를 보겠습니다. 악성코드는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만을 실행 하도록 하는데, 해당 파일에서의 멀웨어가 사용하는 고유 이름(고유한 값)을 찾는다는 문제인데, 이 문제에 대한 키워드는 Mutex입니다. 고유한 값이나 이름을 사용해서 하나만을 실행하도록 하는 것을 Malware Mutex라한다. Malware Mutex를 간단하게 이야기를 하면 뮤텍스는 변수와 같은 리소스에 대한 동시 액세스를 피하기 위해 일반적으로 사용하는 프로그램 객체입니다. 뮤텍스는 일반적으로 동일한 멀웨어의 다른 인스턴스에 의한 시스템 감염을 피하기 위해서 멀웨어 생성자가 사용하는 기능입니다. volatility에서는 mutex를 분석할 수 있는 플러그인이 있습니다. Mutant, Mutan..