카테고리 없음

KUCIS : 데프콘 문제로 풀어보는 메모리 포렌식

kchabin 2022. 7. 14. 15:49

문제 1 : 주어진 defcon.mem 메모리의 SHA1 해시 값은 무엇인가?

 

문제 4 : wscript.exe 프로세스의 자식 프로세스 이름은?

명령어 = vol.exe -f Defcon.mem --profile=Win7SP1x64 pstree (프로세스를 트리구조로 봐야함)

... 으로 들어가 있는 부분이 자식 프로세스

문제 6 : 악성 프로세스로 인하여 연결된 세션의 공격자 IP는?

netscan입력했을 때 State가 ESTABLISHED 인것들을 찾아봄.

포트 번호도 이상하고 파일 이름도 이상한게 있음. 이게 악성파일인듯

칼리에서 msfvenom 할 때 포트 번호 지정 안하면 4444가 디폴트로 지정됨.

 

 

문제 7 : VCRUNTIME140.dll을 로드하고 있는 프로세스의 이름?

 

 

문제 8: 악성 파일 md5 해시값?

처음에 난 dlllist.txt에서 악성파일 이름을 검색해서 찾았다. 근데 강사님은 netscan | findstr ESTAB 으로 악성파일 PID를 찾으셨다. 그냥 

 

실행 파일이 만들어짐.

-D [저장 경로] 인 데 현재 경로에 생기도록 하기 위해 . 만 입력해줌

해시값 추출 성공!

문제 9 : bob 사용자 계정의 LM 해시 값은?

앞에 LM 해시, 뒤에 LTLM 해시 라고 한다. 

비밀번호가 취약하다. 관리자 게스트 사용자 비밀번호가 다 같다. 솔트값 x

2222 -> aad3b435b51404eeaad3b435b51404ee

레인보우테이블 = 해시값 모아놓은 테이블

 

* 솔트 값 = 2222 + abekd 임의의 값을 붙여줌.

문제 12 : PC에 실행되었던 VBS 파일의 이름?

 

문제 13 :2019-03-07 23:06:58 시점에 실행된 프로그램은?

너무 기니까 메모장 파일로 만들어줌.

Skype가 실행됐었음.

 

문제 14 : 메모리 덤프 시점에 notepad.exe에 쓰여있던 문자에서 답을 찾으시오.

예) flag<???(15글자)>

vol.exe/ strings.exe 사용툴

notepad.exe의 PID를 찾아줌. memdump로 dmp 파일 만들기.

문제 16 : metepreter로 세션을 연결시키는 악성파일의 PID 번호?

이미 아까 문제 8번에서 악성파일의 PID 3496을 알아냈다. 그리고 md5해시값도 출력했다. 근데 확실히 이게 악성파일인지 확인해보기 위해서 얻은 md5해시를 virustotal.com에 입력해서 이게 악성파일인지 확인해본다.

보안회사들에서 이 파일이 악성파일이라고 보고함