Hack4S3cur1ty

이것또한 직접 디버깅 하지 않아도 dnspy로 확인 가능하다.

malware파일인 vmware-tray.exe를 분석해보자. C# 인거같으니 dnspy로 열어보자. 랜섬웨어 파일이므로 직접 디버깅 하기는 어렵지만 정황상 비트코인 주소같다.

무슨소리인지 감이 안잡힌다. 일단 토렌트를 다운받은 흔적부터 찾아보자. 1234>vol.py -f OtterCTF.vmem --profile=Win7SP1x64 chromedownloadsVolatility Foundation Volatility Framework 2.6Row Id Current Path Target Path Start Time Received Total Bytes State Danger Interrupt End Time Opened Referer By Ext ID By Ext Name ETag Last Modified MIME Type Original MIME Type------ ------------------------------------------------------------..

malware가 어떻게 침투했는지 묻고있다.토렌트 사용 흔적이 있기 때문에 illigal habit중 하나라고 생각했고, 좀전에 추출한 Rick And Morty season 1 download.exe.torrent 을 분석하니 답을 찾을 수 있었다.

malware가 감염되었고 프로세스 이름을 구해야 하니 pstree로 확인해보면 수상한 프로세스가 실행되어있는걸 확인할 수 있다. 1234567>vol.py -f OtterCTF.vmem --profile=Win7SP1x64 pstreeVolatility Foundation Volatility Framework 2.6Name Pid PPid Thds Hnds Time-------------------------------------------------- ------ ------ ------ ------ ---- 0xfffffa801b27e060:explorer.exe 2728 2696 33 854 2018-08-04 19:27:04 UTC+0000. 0xfffffa801b486b30:Rick And M..