ctf-d GrrCon 2015 #3

 

공격자들은 AnyConnectInstaller.exe를 통해 공격을 시도했다.

그래서 AnyConnectInstaller를 dumpfiles로 추출해보았다.

dat과 img 파일 두 개가 나와야 하는데 dat 파일밖에 나오지 않았다.

 

filescan.log에는 AnyConnectInstaller가 여러개 나오는데, 이 공격은 frontdesk 계정에서 Outlook을 통해 피싱 메일을 확인한 후 악성파일을 다운로드받도록 유도했으므로 

frontdesk와 다운로드 파일이 있는 경로의 offset을 복사해서 실행하도록 한다.

(실시간 감시 끄기)

 

사용된 악성코드의 이름을 찾으라고 하는데  Xtrat라는 이름이 눈에띄었다.

찾아보니 Xtrat의 전체 이름이 XtremeRat인 것 같다.