[ctf-d] GrrCON 2015 #3
악성코드의 이름을 찾아야 한다.
키 포맷이 zeus라고 힌트를 줬는데, 도대체 제우스가 뭘까 한참을 고민했다.
그러다가!!
뉴스스터디로 트로이 목마를 잠깐 다룬 적이 있다
번뜩 제우스 트로이 목마가 떠올랐다
트로이 목마 악성코드를 찾으면 되지 않을까!
#1에서 추출한 3196.txt 파일에서 먼저 AllSafeCyberSec 검색해봄
근데 플래그랑 연관된 걸 찾을 수 없었다
cmd 창에서 문자열 검색
volatility ~ -f ~.vmss --profile=~ filescan | findstr ""
AllSafeCyberSec 으로는 아무것도 안 나와서 (당연함... 파일 스캔인데 나올 리가)
#2에서 찾았던 플래그 .exe 파일 이름을 검색해봤더니 결과가 출력됐다.
(문제가 다 연결되어 있다.)
저 중 위의 2개만 우선 dumpfiles를 해주었다.
첫 번째
volatility ~ -f ~.vmss --profile=~ -Q 0x~ -D ./
dat 파일이 하나 추출되었다.
두 번째
volatility ~ -f ~.vmss --profile=~ -Q 0x~ -D ./
dat 파일과 img 파일이 추출되었다.
근데 이 과정에서 windows 방화벽이 바이러스를 감지했다.
이거다 싶었다!!
두 번째 과정에서 추출된 이 img 파일을 virustotal에서 사용
총 70개 중 64개 바이러스 감지
목록 중 두 번째에 Trojan/~ 으로 트로이 목마 바이러스가 하나 감지되어 있다.
아까 방화벽에서 힌트를 얻은 것 같다...(ㅋㅋ
Xtrat을 검색해봤더니 악성코드가 맞다.
풀네임은 Xtreme Rat 인 듯
Xtrat을 플래그에 넣어봤더니
틀렸음
헐 이것도 아님
뭐지...
분명 이게 맞는 것 같은데
그래서 구글링을 해봤다
Xtreme RAT 이 정확한 이름인가보다
아!!!
스트레스
정답은 XtremeRAT 이었다
마지막은 띄어쓰기가 문제였다...
아무튼 성공!
'Forensics' 카테고리의 다른 글
[ctf-d] GrrCON 2015 #5 (0) | 2022.08.03 |
---|---|
[ctf-d] GrrCON 2015 #4 (0) | 2022.08.03 |
[ctf-d] GrrCON 2015 #2 (0) | 2022.08.02 |
[ctf-d] GrrCON 2015 #1 (0) | 2022.08.02 |
ZIP 파일 구조 (0) | 2022.07.30 |