[ctf-d] GrrCON 2015 #3

[ctf-d] GrrCON 2015 #3

 

 

 

 

악성코드의 이름을 찾아야 한다.

키 포맷이 zeus라고 힌트를 줬는데, 도대체 제우스가 뭘까 한참을 고민했다.

그러다가!!

뉴스스터디로 트로이 목마를 잠깐 다룬 적이 있다

번뜩 제우스 트로이 목마가 떠올랐다

 

트로이 목마 악성코드를 찾으면 되지 않을까!

 

 

 

 

 

#1에서 추출한 3196.txt 파일에서 먼저 AllSafeCyberSec 검색해봄

근데 플래그랑 연관된 걸 찾을 수 없었다

 

 

 

 

 

cmd 창에서 문자열 검색

volatility ~ -f ~.vmss --profile=~ filescan | findstr ""

AllSafeCyberSec 으로는 아무것도 안 나와서 (당연함... 파일 스캔인데 나올 리가)

#2에서 찾았던 플래그 .exe 파일 이름을 검색해봤더니 결과가 출력됐다.

(문제가 다 연결되어 있다.)

 

 

 

 

 

 

저 중 위의 2개만 우선 dumpfiles를 해주었다.

 

첫 번째

volatility ~ -f ~.vmss --profile=~ -Q 0x~ -D ./

 

 

dat 파일이 하나 추출되었다.

 

 

 

 

 

 

 

 

 

 

두 번째

volatility ~ -f ~.vmss --profile=~ -Q 0x~ -D ./

 

 

dat 파일과 img 파일이 추출되었다.

근데 이 과정에서 windows 방화벽이 바이러스를 감지했다.

 

 

이거다 싶었다!!

 

 

 

 

 

두 번째 과정에서 추출된 이 img 파일을 virustotal에서 사용

 

 

총 70개 중 64개 바이러스 감지

 

 

 

목록 중 두 번째에 Trojan/~ 으로 트로이 목마 바이러스가 하나 감지되어 있다.

아까 방화벽에서 힌트를 얻은 것 같다...(ㅋㅋ

Xtrat을 검색해봤더니 악성코드가 맞다.

풀네임은 Xtreme Rat 인 듯

 

 

Xtrat을 플래그에 넣어봤더니

 

 

틀렸음

 

 

 

 

헐 이것도 아님

뭐지...

분명 이게 맞는 것 같은데

 

 

 

 

 

그래서 구글링을 해봤다

 

 

Xtreme RAT 이 정확한 이름인가보다

 

 

 

 

아!!!

스트레스

 

 

 

 

정답은 XtremeRAT 이었다

마지막은 띄어쓰기가 문제였다...

 

아무튼 성공!