[CTF]Grrcon 2015 메모리 포렌식 #2

IIS 서버에서 실행되는 웹쉘 파일 이름과 웹쉘 코드, 웹쉘의 행위는?

# volatility -f MF_CTF4.vmss --profile=Win2012R2x64 pstree

 

IIS 서버의 실행파일은 w3wp.exe다.
여러 프로세스 중 cmd를 자식으로 가지는 5492 프로세스가 의심스럽다.
해당 프로세스가 cmd를 열어서 어떤 악성 명령어를 실행하려는 의도가 있을 가능성이 크기 때문이다.
5492가 사용하는 모든 메모리 공간을 dump하면 시간이 매우 오래 걸리므로,
자식 프로세스인 9248만 dump하여 string으로 추출한다.

# volatility -f MF_CTF4.vmss --profile=Win2012R2x64 memdump -p 9248 -D .
IIS의 웹페이지 확장자인 asp, aspx 혹은 웹셀과 관련있는 키워드인 eval로 검색해보자.

eval : 자바스크립트 난독화에 사용되는 함수

 

error1.aspx에 난독화된 자바스크립트 코드가 있는 것을 확인했다.
js 복호화 : https://www.strictly-software.com/unpacker#unpacker

js 난독화를 해제하니 base64 인코딩 문자열이 보인다.
확인된 base64를 모두 디코딩한다. https://www.base64decode.org/

 

①번은 웹쉘, ②번에는 네트워크 공유폴더를 연결하는 명령어가 들어있다.
따라서 error1.aspx가 base64로 난독화된 웹쉘임을 알 수 있다.