촉촉한초코칩

netscan.log에서 IP를 찾는다. teamviewer를 통해 원격 접속을 시도했으므로 팀뷰어 이후 프로세스들을 보면된다. outlook, mstsc, svchost.exe가 있는데 이 중 원격 관련 프로세스는 mstsc이므로 해당 프로세스의 IP가 플래그가 된다.

실행중인 프로세스의 이름이 flag이기 때문에 netscan.log에서 검색했다. State가 Listening으로 되어 있는 프로세스 중 원격 관련 소프트웨어를 찾는다. (netscan.log에서 원격 관련 프로그램은 teamviewer, mstsc.exe 두개가 있는데, 이 중 실행중인 프로그램을 찾아야하기 때문에 teamviewer가 답이 된다. ) * 제출할 때 v를 소문자로 써야 정답으로 인정된다.

mftparser 플러그인은 메모리의 MFT 정보를 검색해서 보여준다. 명령어 : vol.py -f [분석할 파일명] --profile=[운영체제명] mftparser > [저장할 파일 명] [.확장자] >volatility_2.6_win64_standalone.exe -f .\Target1-1dd8701f.vmss --profile=Win7SP1x86 mftparser > mtfparser.log mtfparser.log에서 netscan.exe를 검색한다. 그런데 나오지 않아서 옮겨진 도구 중 비슷한 이름을 가진 nbtscan.exe로 검색했다. https://aaasssddd25.tistory.com/56

멀웨어인 iexplorer.exe를 메모리덤프하고 strings로 추출한다. 프런트 데스크 PC를 손상시키기 위해 도구를 옮겼다고 했으므로 frontdesk로 검색해서 찾아본다. g로 시작하지 않는 exe 파일로 되어있는 도구 세개가 나왔다.

악성코드는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만을 실행 하도록 하는데, 해당 파일에서의 멀웨어가 사용하는 고유 이름(고유한 값)을 찾는 문제 같다. 여기서 고유한 값이나 이름을 사용해서 하나만을 실행하도록 하는 것을 Malware Mutex 라고 한다. 뮤텍스는 변수와 같은 리소스에 대한 동시 액세스를 피하기 위해 일반적으로 사용하는 프로그램 객체입니다. 일반적으로 동일한 멀웨어의 다른 인스턴스에 의한 시스템 감염을 피하기 위해서 멀웨어 생성자가 사용하는 이다. volatility의 handles 플러그인을 사용한다. PID값이 2996인 악성코드 관련 iexplore.exe 프로세스를 설정하고, type을 Mutant로 실행한다.

C&C : https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=kaoni_gw&logNo=221013983692 해당 악성코드 동작 과정 : 각각의 개인 PC를 좀비 PC로 감염시키는 역할을 프로세스 인젝션 된 프로세스인 iexplore.exe이고, 감염된 좀비PC로 부터 정보를 수집하는 역할을 C&C 서버가 한다. ixplorer.exe를 memdump하고 strings로 추출한다. 컴퓨터가 재부팅되고, 바로 레지스트리키가 실행이 된뒤에 인증을 하기 때문에 MrRobot 문자열 근처에 있을 것으로 추측한다. key format이 영문+숫자이므로 GrrCon2015이 답이 된다.