Information Security

triage.mem의 sha1 hash 값은? Flag : flag 이 머신의 운영체제 버전은 몇인가? Flag : flag notepad.exe의 프로세스 ID가 무엇인가? Flag : flag wscript.exe의 하위 프로세스의 이름을 지정하십시오. Flag: flag RAM 덤프가 생성되었을 때 시스템의 IP 주소는? Flag : flag 감염된 PID에 대한 답변을 토대로 공격자의 IP가 무엇인지 확인할 수 있는가? Flag : flag VCRUNTIME140.dll 파일과 연결되어 있는 프로세스의 이름은 무엇입니까? Flag : flag 시스템에서 잠재적인 멀웨어의 md5 해시값은 무엇인가? Bobs 계정의 LM 해시값은? Flag : flag 0xfffffa800577ba10의 VAD 노드..

큰 회사의 고용인은 컴퓨터 남용으로 고발당했다. 동료들은 시스템 관리자에게 컴퓨터를 사용하여 하루 종일 게임을 하거나 메시지를 보낸다고 증언했다. 시스템 관리자는 그 고용인의 시스템을 모니터 하여 그 사용자가 Virtual Machine을 사용하는 것을 알아냈다. 고용인은 그 시스템을 Suspend 하고 있었기에 그 vmem의 정보를 수집했다. 1. 이미지가 만들어질 때 로컬 날짜와 시간은 언제인가? 정답: 2011-05-18 17:27:48 2. 어떤 OS를 사용하고 있었는가? 정답: WinXPSP2X86 / WinXPSP3x86 3. 어떤 프로세스들이 동작 중이었나(pid와 함께 작성)? 정답: msimn.exe(1128), IEXPLORE.EXE(1088), sol.exe(672), msmsgs.e..

메모리 분석을 위한 대표적인 프레임워크 도구 메모리 파일(덤프 파일)에서 휘발성 정보를 획득하기 위해 포렌식 분석에서 활용 윈도우 환경, 유닉스(리눅스) 환경, MAC OS 환경 등 크로스 실행 가능 32비트/64비트 윈도우즈XP, 윈도우즈 2003, 윈도우즈 비스타(Vista), 윈도우즈 7 계열 등 모든 메모리 분석 지원이 되며, 리눅스, 안드로이드, MAC OS 환경 프로파일도 포함 단일 명령 콘솔 모드(Single-command line)과 인터랙티브 명령 콘솔(Interactive volshell) 지원 왜 볼라틸리티 인가? 하나의 응집된 프레임워크 GPLv2 오픈 소스 파이썬으로 작성 윈도우, 리눅스, 맥 분석 시스템에서 실행 확장 및 스크립트가 가능한 애플리케이션 프로그래밍 인터페이스 탁월한..

filescan 플러그인을 사용하던 중 Flag.txt를 발견했다. Flag.txt를 추출했다. 해당 파일을 HxD를 이용해서 확인했다. ILSpy 프로그램에서 파일의 확장자가 .locked 이어야 한다는 것을 알았다. HiddenTearDecrypter 프로그램을 아래와 같이 사용했다. Flag 파일이 출력되는 것을 알 수 있다.

ILSpy에 넣어 password를 검색해보면 computerName-userName-password를 넘기는 것 같습니다. 해당 악성코드는 .net이기 때문에 UTF-16으로 인코딩하기 때문에 el 옵션을 통해 비밀번호를 추출했다. (windows 용 strings 는 -el 옵션을 사용하지 않습니다)

foremost 명령어를 이용해 이미지 파일을 출력했다. png 파일 안에 Flag 값을 확인할 수 있다.

vmware-tray.exe을 procdump 플러그인을 이용해 덤프를 떴다. .Net assembly 파일 디컴파일인 ILSpy를 이용해서 디컴파일 해보면 해당 코드에 비트코인 주소 1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M 이라는 것을 알 수 있습니다.

filescan을 이용해 Chrome의 History 파일을 찾았다. dumpfile을 만들었다. DB Browser for SQLite를 이용해서 DB 파일을 열어 보았다. site_url 이라는 칼럼이 존재하는데 아래의 쿼리문을 입력했다. strings 명령어를 통해 @mail.com 검색했다. mail.com에 접속해 이메일을 확인할 수 있다.