Information Security

triage.mem의 sha1 hash 값은? Flag : flag 이 머신의 운영체제 버전은 몇인가? Flag : flag notepad.exe의 프로세스 ID가 무엇인가? Flag : flag wscript.exe의 하위 프로세스의 이름을 지정하십시오. Flag: flag RAM 덤프가 생성되었을 때 시스템의 IP 주소는? Flag : flag 감염된 PID에 대한 답변을 토대로 공격자의 IP가 무엇인지 확인할 수 있는가? Flag : flag VCRUNTIME140.dll 파일과 연결되어 있는 프로세스의 이름은 무엇입니까? Flag : flag 시스템에서 잠재적인 멀웨어의 md5 해시값은 무엇인가? Bobs 계정의 LM 해시값은? Flag : flag 0xfffffa800577ba10의 VAD 노드..

[문제 제시] 기밀문서의 암호를 동료에게 전달을 받았다. 노출이 되면 안 되는 암호이기 때문에 서로 약속을 했다. 동료는 아래와 같은 힌트와 파일을 하나 남기고 사라졌다. 10.7.9.1.8.2.5.4.6.3 check01.pcapng 파일을 열어보면 TCP 통신을 하는 것을 알 수 있다. [Statistics] -> [ProtocolHierarchy] 메뉴를 보시면 Transport Layer Security 통신을 하고 있는 것을 알 수 있다. [Statistics] -> [Requests] 메뉴에 들어가도 별다른 정보를 알 수 없다. [Statistics] -> [Capture] 메뉴에서 캡쳐 파일의 요약 정보를 확인할 수 있다. Captured 파일이 2011개라는 것을 알 수 있다. Packet..

file 명령어를 통해 문제 파일의 확장자를 확인했다. XZ 확장자를 가진 압축파일을 확인하고 확장자 변경 후 압축 파일을 풀었다. 한번 더 file 명령어를 통해 파일의 유형을 확인했다. Windows로 파일을 옮긴 후 16개의 압축파일에서 동일한 용량을 확인했지만 013.7Z 압축파일만 CRC가 다른 것을 알 수 있다. 압축을 풀면 이번에는 009.7z 파일만 CRC가 다른 것을 알 수 있다. 009.7z 압축을 풀면 0000007.7z만 다른 것을 알 수 있다. 0000007.7z 압축 파일을 풀면 0000000008.7z 파일만 다른 것을 알 수 있다. 0000000008.7z 압축을 풀면 bomb_08 파일이 다른 것을 알 수 있다. strings 명령어를 통해 FLAG 값을 확인했다.

filescan 플러그인을 사용하던 중 Flag.txt를 발견했다. Flag.txt를 추출했다. 해당 파일을 HxD를 이용해서 확인했다. ILSpy 프로그램에서 파일의 확장자가 .locked 이어야 한다는 것을 알았다. HiddenTearDecrypter 프로그램을 아래와 같이 사용했다. Flag 파일이 출력되는 것을 알 수 있다.

ILSpy에 넣어 password를 검색해보면 computerName-userName-password를 넘기는 것 같습니다. 해당 악성코드는 .net이기 때문에 UTF-16으로 인코딩하기 때문에 el 옵션을 통해 비밀번호를 추출했다. (windows 용 strings 는 -el 옵션을 사용하지 않습니다)

foremost 명령어를 이용해 이미지 파일을 출력했다. png 파일 안에 Flag 값을 확인할 수 있다.

vmware-tray.exe을 procdump 플러그인을 이용해 덤프를 떴다. .Net assembly 파일 디컴파일인 ILSpy를 이용해서 디컴파일 해보면 해당 코드에 비트코인 주소 1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M 이라는 것을 알 수 있습니다.

filescan을 이용해 Chrome의 History 파일을 찾았다. dumpfile을 만들었다. DB Browser for SQLite를 이용해서 DB 파일을 열어 보았다. site_url 이라는 칼럼이 존재하는데 아래의 쿼리문을 입력했다. strings 명령어를 통해 @mail.com 검색했다. mail.com에 접속해 이메일을 확인할 수 있다.