[ctf-d] GrrCON 2015 #7

[ctf-d] GrrCON 2015 #7

 

 

 

 

멀웨어가 사용하는 고유 이름을 찾아야 한다.

앞에서 추출한 2996.txt 에서 멀웨어였던 xtreme을 검색해봤다.

 

 

logs.dat 파일이 하나 보인다

설마?

 

 

그럼 그렇지 쉬울 리가 없다

.

.

.

모르겠다 하하 😅

 

 

 

 

 

+)

다시 처음부터 살펴봤다.

문제를 이해하는 게 중요한 것 같아서

 

문제에서

멀웨어는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만 실행되도록 한다.

고 알려주고 있다.

 

멀웨어가 사용하는 고유 이름을 찾는 것보다

저 문장을 이용하는 게 더 맞는 것 같았다.

그래서!!

열심히 찾았다.

 

 

 

고유한 값이나 이름을 사용해서 하나만을 실행하도록 하는 것을 Malware Mutex 라고 한다.

참고: https://cybersecurity.att.com/blogs/labs-research/malware-exploring-mutex-objects

 

그래서 이걸 어떻게 찾을 수 있는지 찾아봤다.

 

 

 

mutex를 분석할 수 있는 플러그인이 handles이고

타입을 Mutant로 지정하면 Mutex 정보를 확인할 수 있다고 한다.

 

PID 정보는 프로세스 인젝션이 사용된 iexplore.exe의 PID를 사용했다.

 

volatility ~ -f ~.vmss --profile=~ handles -p 2996 -t Mutant

 

 

세부정보를 보면

fsociety0.dat 파일 이름이 뜬다.

 

플래그에 입력해보니

 

 

성공!