ctf-d GrrCon 2015 #6

C&C : https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=kaoni_gw&logNo=221013983692

 

해당 악성코드 동작 과정 : 각각의 개인 PC를 좀비 PC로 감염시키는 역할을 프로세스 인젝션 된 프로세스인 iexplore.exe이고, 감염된 좀비PC로 부터 정보를 수집하는 역할을 C&C 서버가 한다.

 

ixplorer.exe를 memdump하고 strings로 추출한다. 

컴퓨터가 재부팅되고, 바로 레지스트리키가 실행이 된뒤에 인증을 하기 때문에 MrRobot 문자열 근처에 있을 것으로 추측한다.

key format이 영문+숫자이므로 GrrCon2015이 답이 된다.