2. CTF-d, GrrCon 2015 풀이

1) 이미지 식별 -> 운영체제 선택 (Win7SP1x86)

2) pslist, psscan, pstree, psxview, connections, cmdline, cmdscan, consoles.log 파일 생성

3) 의심스러운 파일 찾아내기

* pslist보다 pstree에서 PID와 PPID를 먼저 보는 것이 좋다.

* 프로세스들 이름 검색해보기

* 의심스러운 프로세스 하위 프로세스도 의심해본다.

4) pslist에서 시간순서대로 의심스러운 프로세스나 명령어 보기

* 해커가 어디서부터 침투했는지 확인

TeamViewer.exe부터 확인 -> PID 값 확인

5) 의심스러운 프로세스 memdump

cmdscan.log 파일에서 해커가 어떤 명령어를 실행했는지 확인한다.

봐야 할 것

1. outlook.exe

2. tv_w32.exe

3. C:\Windows\temp\wce.exe, w.tmp

-> filescan.log에서 검색해본다.

temp안에 wce.exe와 w.tmp 파일이 있음을 확인. offset을 복사해서 추출한다.

추출한 w.tmp는 텍스트 파일이므로 Notepad++에서 열어서 보도록 한다.

w.tmp : 기록

예상 : wce.exe 프로그램이 컴퓨터에 들어와서 관리자 PC의 계정과 비밀번호, 사용자 계정(frontdesk)의 비밀번호를 추출한 것처럼 보인다.

virustotal에서 wce.exe가 악성프로그램인지 확인해본다.

6) wce.exe가 악성프로그램인 것은 확인됨. 어느 경로로 들어왔는지 확인한다.

netscan.log 파일 확인해서 IP주소를 보고 수상한 프로세스를 확인해본다.

 

수상한 프로세스

1. outlook.exe //메일 -> 메모리 덤프 -> 메일 원본이 보일 수도.

-> 메일 원본 찾기 (피싱 메일이 있을 수 있으므로 URL을 중점으로 검색해본다.)

2. tv_w32.exe

3. iexplorer.exe

4. C:\Windows\Temp\wce.exe, w.tmp //악성

5. 10.1.1.21

 

- outlook PID를 찾아서 memdump 실행 -> strings

URL을 검색해본다. (검색 결과가 너무 많다면 검색 결과들 중에서 .exe, .pdf, .docx, .xlsc 등으로 다시 검색해본다.)

피싱 메일 발견

http://180.76.254.120/AnyConnectInstaller.exe << 발견

AnyConnectInstaller.exe 악성 코드 발견 -> 추출해본다.

 

- AnyConnectInstaller.exe 추출

filescan.log에서 다운로드 파일 안에 있는 것으로 offset 추출

virustotal에서 검사

악성코드임을 확인.

 

- tv_w32.exe dumpfiles 실행

- iexplorer.exe memdump 실행

strings 추출 -> netscan에서 나온 ixplore.exe IP를 검색해본다. 180.76.254.120

악성 프로그램을 다운받은 흔적을 찾을 수 있다.

 

시나리오 : outlook.exe 메일 메일 -> AnyConnectInstaller.exe 설치 -> wce.exe w.tmp(관리자 패스워드 추출) -> mstsc.exe (원격 접속 프로그램)이 실행됨

 

CTF-D, GrrCon 2015 정리 & 추가 분석

GrrCon2015

- 운영체제 식별 : Win7SP1X86

- 프로세스 검색 : TeamViewer 관련 프로세스 (tv_w32.exe)

explorer 하위 프로세스 (mstsc.exe 원격접속, OUTLOOK.exe 메일)

인터넷 익스플로러 (iexplorer.exe, cmd.exe)

- 네트워크 분석 : iexplorer.exe(PID : 2996)에 달려있는 180.76.254.120:22 발견 <- 공격자 IP 추정

- CMD 분석 : cmdline -> tv_w32.exe 의심 -> virustotal -> 정상 프로세스 확인

cmdscan, consoles -> 악성 실행파일 발견 : wce.exe

- 파일 분석 : wce.exe(관리자 계정을 포함하여 패스워드를 가져오는 실행 파일)

w.tmp (wce.exe의 실행 결과로 출력된 파일)

-> temp안에 wce.exe와 w.tmp 파일이 있음을 확인. offset을 복사해서 추출한다.

-> wce.exe 프로그램이 컴퓨터에 들어와서 관리자 PC의 계정과 비밀번호, 사용자 계정(frontdesk)의 비밀번호를 추출한 것처럼 보인다.

virustotal에서 wce.exe가 악성프로그램인지 확인해본다.

AnyConnectInstaller.exe : Outlook 메일로부터 출력된 실행파일

- 프로세스 세부 분석 : Outlook.exe memdump -> 피싱 메일 발견 + AnyConnectInstaller.exe의 URL 확보

filescan.log에서 다운로드 파일 안에 있는 것으로 AnyConnectInstaller.exe offset 추출

explorer.exe memdump -> 공격 흔적 발견

strings 추출 -> netscan에서 나온 iexplore.exe IP를 검색해본다. 180.76.254.120

-> 악성 프로그램을 다운받은 흔적을 찾을 수 있다.

Teamviewer 관련 프로세스는 정상 프로세스로 판단.

 

GrrCon2015 분석 결과

1. 침입 경로 : frontdesk 계정에서 Outlook을 통해 피싱 메일 확인 -> AnyConnectInstaller.exe 다운로드 유도

2. 악성 행위

- AnyConnectInstaller.exe 실행파일 발견

- iexplorer.exe 내부에서도 공격 흔적 발견

- wce.exe를 통해 관리자 패스워드를 가져오고 결과를 w.tmp 파일에 저장함

3. 추가 공격 : mstsc(원격 데스크톱)를 이용한 추가 공격 예상

 

GrrCon2015 - 추가 분석 가능한 부분들

1. iexplorer.exe 추가 분석 -> procdump로 실행 파일 살펴보기

2. exe 파일도 strings로 추출해보기.

3. Outlook 메모리 덤프로부터 공격자 이메일, 피해자 이메일 찾아보기

4. 공격자가 사용한 도구들과 구체적인 행위 파악하기

* hint : consoles.log 살펴보기 (실행파일 구글링)

5. 공격자의 추가 공격 행위 파악

* hint : mstsc, gideon (기데온 계정)