촉촉한초코칩

공격자들은 AnyConnectInstaller.exe를 통해 공격을 시도했다. 그래서 AnyConnectInstaller를 dumpfiles로 추출해보았다. dat과 img 파일 두 개가 나와야 하는데 dat 파일밖에 나오지 않았다. filescan.log에는 AnyConnectInstaller가 여러개 나오는데, 이 공격은 frontdesk 계정에서 Outlook을 통해 피싱 메일을 확인한 후 악성파일을 다운로드받도록 유도했으므로 frontdesk와 다운로드 파일이 있는 경로의 offset을 복사해서 실행하도록 한다. (실시간 감시 끄기) 사용된 악성코드의 이름을 찾으라고 하는데 Xtrat라는 이름이 눈에띄었다. 찾아보니 Xtrat의 전체 이름이 XtremeRat인 것 같다.

02-1 배열 자료구조 (data structure) : 데이터 단위와 데이터 자체 사이의 물리적 또는 논리적인 관계 * 데이터 단위는 데이터를 구성하는 한 덩어리라고 생각하면 된다. 자료구조는 쉽게 말해 자료를 효율적으로 이용할 수 있도록 컴퓨터에 저장하는 방법을 말한다. 배열 (array) 같은 자료형의 변수로 이루어진 요소 (element)가 모여 직선 모양으로 줄지어 있는 자료구조 배열 선언 방법 자료형 배열이름[요소개수]; ex) int a[5]; 요소 개수는 상수만 사용할 수 있다. (변수 사용 불가) * 상수식은 상수만을 포함하는 식으로, 실행 시점이 아닌 컴파일 시점에 계산된다. 요소와 인덱스 배열의 모든 요소는 직선 모양으로 줄지어 있다. 배열의 개별 요소에 접근하기 위해 사용하는 것이 ..

문제 동혁이는 오래된 창고를 뒤지다가 낡은 체스판과 피스를 발견했다. 체스판의 먼지를 털어내고 걸레로 닦으니 그럭저럭 쓸만한 체스판이 되었다. 하지만, 검정색 피스는 모두 있었으나, 흰색 피스는 개수가 올바르지 않았다. 체스는 총 16개의 피스를 사용하며, 킹 1개, 퀸 1개, 룩 2개, 비숍 2개, 나이트 2개, 폰 8개로 구성되어 있다. 동혁이가 발견한 흰색 피스의 개수가 주어졌을 때, 몇 개를 더하거나 빼야 올바른 세트가 되는지 구하는 프로그램을 작성하시오. 입력 첫째 줄에 동혁이가 찾은 흰색 킹, 퀸, 룩, 비숍, 나이트, 폰의 개수가 주어진다. 이 값은 0보다 크거나 같고 10보다 작거나 같은 정수이다. 출력 첫째 줄에 입력에서 주어진 순서대로 몇 개의 피스를 더하거나 빼야 되는지를 출력한다. ..

NTLM 암호 해시는 volitility의 hashdump로 구할 수 있다고 한다.

nbstacan.exe 의 출력 내용을 nbt.txt라는 텍스트 파일로 저장했다고 한다. 그래서 nbtscan.exe와 동일한 디렉토리에 저장되어 있는 txt 파일을 찾아보았다. filescan.log에서 nbtscan.exe가 있던 디렉토리 주소를 찾아보니 이름이 비슷한 nbs.txt 파일을 찾았다. 그 파일을 dumpfiles로 추출했다. 파일을 열어보니 IP 주소가 나왔다. 이 중 첫번째 주소를 답으로 제출했다.

이메일 주소를 찾기위해 이메일과 관련된 프로세스를 memdump로 추출했다. strings로 추출한 다음에 gmail.com이나 .com 등의 키워드로 검색해본다.