[CTF]Grrcon 2015 메모리 포렌식 #1

① 회사의 안내 desk에 근무하는 직원이 수상한 이메일을 확인하여,
악성코드 감염이 의심된다. 보낸사람의 이메일 주소와 접속주소, 첨부파일을 찾아라.

pstree

이메일 서비스와 관련된 프로세스(OUTLOOK.EXE)가 사용하는 모든 메모리 공간을 추출한다.

# volatility -f MF_CTF1.vmss --profile=Win7SP1x86_23418 memdump -p 3196 --dump-dir=./

Strings로 추출한 내용에서 각각 이메일, URL 형식을 나타내는 키워드를 검색한다.

strings 3196.dmp | grep "gmail.com"
strings 3196.dmp | grep "return"
strings 3196.dmp | grep "http://"

덤프 파일 내에 특수문자가 많아서 이메일을 찾기 위한 키워드로 @를 사용하면 찾기 힘들다.
따라서 gmail.com, naver.com 등의 서버 도메인, 메일 송수신지를 나타내는 To:나 From:   

, 메일 반송을 뜻하는 return 키워드를 사용한다.

첨부파일은 웹에 접속하여 다운받기 때문에 URL의 고정 주소인 http:// 혹은 https://로 검색한다.

아래 사진은 strings로 dmp 전체 내용을 파일로 추출한 뒤 검색된 키워드를 확인한 결과이다.

From : th3wh1t3r0s3@gmail.com
첨부파일 : 180.76.254.120/AnyConnectInstaller.exe



② 변조된 프로세스를 찾아라.

pstree


iexplore(익스플로러 브라우저)가 자식 프로세스로 cmd를 가지고 있다.
인터넷 사용 도중 cmd창이 뜬다는 것은 일반적인 일이 아니다.
또한 explorer.exe와 같은 부모 프로세스 없이 독립적으로 실행하므로 프로그램에 의해 강제 실행되었을 확률이 높다.

메일 본문의 첨부파일 열람 후 감염된 것으로 생각하여
iexplore.exe에 인젝션된 프로세스를 확인 및 추출한다.

# volatility -f MF_CTF1.vmss --profile=Win7SP1x86_23418 --profile=Win7SP1x86_23418 yarascan -Y "AnyConnectInstaller.exe"
# volatility -f MF_CTF1.vmss --profile=Win7SP1x86_23418 filescan | grep "AnyConnectInstaller.exe"

ie 내부에 실행파일이 인젝션되어 ie가 실행될 때 AnyConnectInstaller.exe 파일도 같이 실행될 것이다.
filescan한 결과의 두 번째 파일을 추출하여보니 아래처럼 바이러스로 탐지되는 것을 확인할 수 있다.



따라서 변조된 프로세스는 iexploer.exe(2996)이다.

③ 공격자는 암호를 덤프하기 위해 특정 도구를 사용하였다. front-desk-PC의 비밀번호를 찾아라.

패스워드 덤프 도구는 일반적으로 cmd에서 실행하므로
사용자가 입력한 명령어를 볼 수 있는 cmdscan을 활용한다.

wce.exe의 실행 결과를 w.tmp 파일로 내보내고 있다.
wce는 일반 텍스트 암호를 덤프하는 프로그램이니 w.tmp 파일에 계정 정보가 있을 것이다.

# volatility -f MF_CTF1.vmss --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003eca37f8 --dump-dir=./

front-desk의 비밀번호는 flagadmin@1234이다.