전체 글 (169) 썸네일형 리스트형 [ctf-d] GrrCON 2015 #7 [ctf-d] GrrCON 2015 #7 멀웨어가 사용하는 고유 이름을 찾아야 한다. 앞에서 추출한 2996.txt 에서 멀웨어였던 xtreme을 검색해봤다. logs.dat 파일이 하나 보인다 설마? 그럼 그렇지 쉬울 리가 없다 . . . 모르겠다 하하 😅 +) 다시 처음부터 살펴봤다. 문제를 이해하는 게 중요한 것 같아서 문제에서 멀웨어는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만 실행되도록 한다. 고 알려주고 있다. 멀웨어가 사용하는 고유 이름을 찾는 것보다 저 문장을 이용하는 게 더 맞는 것 같았다. 그래서!! 열심히 찾았다. 고유한 값이나 이름을 사용해서 하나만을 실행하도록 하는 것을 Malware Mutex 라고 한다. 참고: https://cybersecurity.a.. [ctf-d] GrrCON 2015 #6 [ctf-d] GrrCON 2015 #6 문제가 전부 연결되어 있어서 이것도 앞에서 풀었던 걸 사용하면 된다고 생각했다. 이 문제도 멀웨어 관련해서 묻고 있는데 앞선 문제들이 악성코드에 인젝션된 프로세스의 PID 멀웨어가 사용하고 있는 레지스트리 Key 를 찾는 것이었기 때문에 #4, #5를 이용하면 될 듯! #4에서 iexplore.exe 파일의 PID를 새로 사용했으니까 더이상 #1에서 추출했던 dmp 파일은 거의 쓰이지 않을 거라고 생각했다. 그래서 우선 iexplore.exe의 PID 2996으로 덤프 파일을 생성했다. dmp 파일을 읽기 위해 txt 파일로 변환하는 작업까지 거쳐줬다. 이 생성된 파일에서 플래그를 찾을 수 있을 것 같다는 생각이 들었다 근데 무턱대고 저 파일을 전부 읽을 수는 없.. [Cryptography] STAGE 3 [Cryptography] STAGE 3 1) AES AES (Advanced Encryption Standard) - 2001년에 새롭게 표준으로 선정된 블록 암호 알고리즘 - Vincent Rijmen, Joan Daemen이 제안한 Rijndael 구조 - 기밀성을 위협하는 치명적인 취약점이 발견되지 않음 - 현대에는 대칭키 암호 알고리즘을 사용할 때, 일반적으로 AES 사용 SPN (Substitution Permutation Network) - 곱 암호의 일종 - S-Box를 사용하는 치환(Substitution)과 P-Box를 사용하는 순열(Permutation)을 여러 라운드에 걸쳐 반복 - 페이스텔 구조와 달리 라운드마다 입력 전체에 라운드 함수를 적용 - 같은 수의 라운드를 사용할 때 S.. [Web Hacking] STAGE 5 보호되어 있는 글입니다. [ctf-d] GrrCON 2015 #5 [ctf-d] GrrCON 2015 #5 레지스트리에 대해 정확하게 몰라서 구글링을 또 열심히 했다. 재부팅 이후 지속성을 유지하는 레지스트리 키 Microsoft\Windows\CurrentVersion\Run 참고: https://twoicefish-secu.tistory.com/59 레지스트리 키를 출력하는 명령어: printkey -K 옵션을 사용하면 지정한 경로에 대한 레지스트리 키만 출력함 앞서 알게 된 레지스트리 키를 경로로 지정하고 키 출력 volatility ~ -f ~.vmss --profile=~ printkey -K "Microsoft\Windows\CurrentVersion\Run" 키가 총 두 개가 출력이 되었는데 두 개 중에 아래 키를 보면 AnyConnectInstaller... [ctf-d] GrrCON 2015 #4 [ctf-d] GrrCON 2015 #4 악성코드에 인젝션된 프로세스의 PID를 찾아야 한다. PID를 보려고 pstree 실행 volatility ~ -f ~.vmss --profile=~ pstree 쭉 봤다... 근데 뭐 본다고 아는 게 아님 그렇다고? 하나씩 해볼 수도 없기 때문에 구글링을 해보았습니다. 인젝션된 프로세스를 찾아보는 것에는 process explorer가 자주 쓰인다고 한다. 설치를 하긴 했는데 어떻게 사용하는지를 아직 정확하게 몰라서 ... 일단 패스 남은 건 프로세스가 각각 어떤 프로세스인지 공부하는 법밖에 없다. 부모 프로세스가 없는 것들만 쭉 봤다. csrss.exe 윈도우 시스템에 기본으로 동작되는 프로세스 wininit.exe 윈도우 초기화 프로세스들을 실행하는 프로세스.. [ctf-d] GrrCON 2015 #3 [ctf-d] GrrCON 2015 #3 악성코드의 이름을 찾아야 한다. 키 포맷이 zeus라고 힌트를 줬는데, 도대체 제우스가 뭘까 한참을 고민했다. 그러다가!! 뉴스스터디로 트로이 목마를 잠깐 다룬 적이 있다 번뜩 제우스 트로이 목마가 떠올랐다 트로이 목마 악성코드를 찾으면 되지 않을까! #1에서 추출한 3196.txt 파일에서 먼저 AllSafeCyberSec 검색해봄 근데 플래그랑 연관된 걸 찾을 수 없었다 cmd 창에서 문자열 검색 volatility ~ -f ~.vmss --profile=~ filescan | findstr "" AllSafeCyberSec 으로는 아무것도 안 나와서 (당연함... 파일 스캔인데 나올 리가) #2에서 찾았던 플래그 .exe 파일 이름을 검색해봤더니 결과가 출력.. [ctf-d] GrrCON 2015 #2 [ctf-d] GrrCON 2015 #2 문제가 단순해보인다. 앞서 풀었던 1번과 동일한 파일을 사용하고 직원들의 이메일로 첨부해서 보낸 파일을 찾는 것이므로 추출했던 3196.txt 파일을 그대로 사용하면 될 것 같았다. [ctf-d] GrrCON 2015 #1 (tistory.com) 문제에서 플래그 형식이 xxx.exe 라고 알려주고 있으니 .exe를 txt 파일에서 검색했다. 쭉 보다보니 VPN software가 업데이트 되었으니 아래의 링크를 통해 다운로드 받으라는 수상한 내용과 함께 링크에 .exe 파일이 함께 있다. 확신할 수 없으니 더 찾아보았다. 아까랑 똑같은 형식의 링크가 있다. 앞 내용을 보니 Hello Mr. Wellick 과 함께 또 다시 수상한 문장이 있다. 그렇다면 플래그를 찾.. 이전 1 ··· 12 13 14 15 16 17 18 ··· 22 다음
