목록CTFs/2018 (20)
Hack4S3cur1ty
보호되어 있는 글입니다.
[OTTERCTF][Memory Forensics] 13 - Closure
이제 패스워드를 알아냈으니 암호화된 파일을 복호화 할 수 있다. 이미 널리 알려진 랜섬웨어(https://github.com/m0n0ph1/malware-1/tree/master/Hidden-tear)고,Decrpyter(https://www.bleepingcomputer.com/download/hidden-tear-decrypter/)또한 쉽게 구할 수 있다. filescan과 dumpfiles를 통해 암호화된 파일을 추출한 뒤, 123456789>vol.py -f OtterCTF.vmem --profile=Win7SP1x64 filescanOffset(P) #Ptr #Hnd Access Name------------------ ------ ------ ------ ----0x000000007e4108..
[OTTERCTF][Memory Forensics] 12 - Recovery
주요 코드를 분석해보면, 1234567891011121314151617181920212223public void startAction() { string password = this.CreatePassword(15); string str = "\\Desktop\\"; string location = this.userDir + this.userName + str; this.SendPassword(password); this.encryptDirectory(location, password); this.messageCreator();} public string CreatePassword(int length) { StringBuilder stringBuilder = new StringBuilder(); Rand..
[OTTERCTF][Memory Forensics] 11 - Graphic's For The Weak
이것또한 직접 디버깅 하지 않아도 dnspy로 확인 가능하다.
[OTTERCTF][Memory Forensics] 10 - Bit 4 Bit
malware파일인 vmware-tray.exe를 분석해보자. C# 인거같으니 dnspy로 열어보자. 랜섬웨어 파일이므로 직접 디버깅 하기는 어렵지만 정황상 비트코인 주소같다.
[OTTERCTF][Memory Forensics] 9 - Path To Glory 2
무슨소리인지 감이 안잡힌다. 일단 토렌트를 다운받은 흔적부터 찾아보자. 1234>vol.py -f OtterCTF.vmem --profile=Win7SP1x64 chromedownloadsVolatility Foundation Volatility Framework 2.6Row Id Current Path Target Path Start Time Received Total Bytes State Danger Interrupt End Time Opened Referer By Ext ID By Ext Name ETag Last Modified MIME Type Original MIME Type------ ------------------------------------------------------------..
[OTTERCTF][Memory Forensics] 8 - Path To Glory
malware가 어떻게 침투했는지 묻고있다.토렌트 사용 흔적이 있기 때문에 illigal habit중 하나라고 생각했고, 좀전에 추출한 Rick And Morty season 1 download.exe.torrent 을 분석하니 답을 찾을 수 있었다.
[OTTERCTF][Memory Forensics] 7 - Hide And Seek
malware가 감염되었고 프로세스 이름을 구해야 하니 pstree로 확인해보면 수상한 프로세스가 실행되어있는걸 확인할 수 있다. 1234567>vol.py -f OtterCTF.vmem --profile=Win7SP1x64 pstreeVolatility Foundation Volatility Framework 2.6Name Pid PPid Thds Hnds Time-------------------------------------------------- ------ ------ ------ ------ ---- 0xfffffa801b27e060:explorer.exe 2728 2696 33 854 2018-08-04 19:27:04 UTC+0000. 0xfffffa801b486b30:Rick And M..
[OTTERCTF][Memory Forensics] 6 - Silly Rick
지문에서 패스워드 저장 서비스에서 복사 & 붙여넣기 하여 사용한다고 한다.volatility의 clipboard를 통해 답을 찾을 수 있다. 12345>vol.py -f OtterCTF.vmem --profile=Win7SP1x64 clipboardVolatility Foundation Volatility Framework 2.6Session WindowStation Format Handle Object Data---------- ------------- ------------------ ------------------ ------------------ -------------------------------------------------- 1 WinSta0 CF_UNICODETEXT 0x602e3 ..
[OTTERCTF][Memory Forensics] 5 - Name Game 2
지문을 통해 character의 username이 특정 시그니처에 나타난다는 것을 알 수 있고, yarascan을 통해 찾을 수 있다. 1234567>vol.py -f OtterCTF.vmem --profile=Win7SP1x64 yarascan --yara-rules="{64 [6-8] 40 06 [18-18] 5a 0c 00 00}" -p 708Volatility Foundation Volatility Framework 2.6Rule: r1Owner: Process LunarMS.exe Pid 7080x5ab4dfa9 64 00 00 00 00 00 00 40 06 00 00 b4 e5 af 00 01 d......@........0x5ab4dfb9 00 00 00 00 00 00 00 b0 e5 a..