촉촉한초코칩

레지스트리 key 중에서 자동 실행 프로그램을 모아둔 경로 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run volatility 플러그인 중 printkey는 특정 레지스트리 key의 subkeys, values, data, data type을 보여주는 명령어이다. -k 옵션 : 해당 레지스트리에 대한 정보만 가져올 수 있다. -o 옵션 : 가상 주소를 입력하면 특정 하이브에 대해서만 탐색 https://schmidtiana95.tistory.com/entry/Volatility https://lastcard.tistory.com/150 https://rninche01.tistory.com/entry/42-Volatility

공격자들은 AnyConnectInstaller.exe를 통해 공격을 시도했다. 그래서 AnyConnectInstaller를 dumpfiles로 추출해보았다. dat과 img 파일 두 개가 나와야 하는데 dat 파일밖에 나오지 않았다. filescan.log에는 AnyConnectInstaller가 여러개 나오는데, 이 공격은 frontdesk 계정에서 Outlook을 통해 피싱 메일을 확인한 후 악성파일을 다운로드받도록 유도했으므로 frontdesk와 다운로드 파일이 있는 경로의 offset을 복사해서 실행하도록 한다. (실시간 감시 끄기) 사용된 악성코드의 이름을 찾으라고 하는데 Xtrat라는 이름이 눈에띄었다. 찾아보니 Xtrat의 전체 이름이 XtremeRat인 것 같다.

NTLM 암호 해시는 volitility의 hashdump로 구할 수 있다고 한다.

nbstacan.exe 의 출력 내용을 nbt.txt라는 텍스트 파일로 저장했다고 한다. 그래서 nbtscan.exe와 동일한 디렉토리에 저장되어 있는 txt 파일을 찾아보았다. filescan.log에서 nbtscan.exe가 있던 디렉토리 주소를 찾아보니 이름이 비슷한 nbs.txt 파일을 찾았다. 그 파일을 dumpfiles로 추출했다. 파일을 열어보니 IP 주소가 나왔다. 이 중 첫번째 주소를 답으로 제출했다.

이메일 주소를 찾기위해 이메일과 관련된 프로세스를 memdump로 추출했다. strings로 추출한 다음에 gmail.com이나 .com 등의 키워드로 검색해본다.

보호되어 있는 글입니다.