2021. 4. 29. 13:04ㆍctf-d
이번에 풀 문제는 비밀번호를 찾으라고 한다.
C&C 서버는 일반적으로 감염된 좀비 PC가 해커가 원하는 공격을 수행하도록 원격지에서 명령을 내리거나 악성코드를 제어하는 서버를 말한다.
그렇다면 이전 문제에서 iexplore.exe 라는 악성 프로세스는 C&C 서버에 정보를 전송하는 것으로 판단된다.
따라서 iexplore.exe를 dump하여 자료를 살펴볼 것이다.
우선 pstree를 사용하여 iexplore.exe 의 PID를 알아야한다. 2996 이다.
그후 memdump를 사용하여 파일을 추출한다.
하지만 문자들이 너무 많다. KEY FORMAT에 해당되는 부분들이 많아서 어찌할줄 모르다가..
whitesnake1004.tistory.com/640
Memory - GrrCON 2015 #6
악성코드가 C&C 서버에 재인증으로 사용하는 비밀번호를 찾는 문제입니다. 먼저 C&C 서버가 어떤 역할을 하는지에 대해 먼저 알아볼 필요가 있습니다. 이전 문제들 에서 해당 악성코드 파일에 적
whitesnake1004.tistory.com
이분의 블로그에서 힌트를 얻었다.(대단한 사람이다)
컴퓨터가 재부팅되고 레지스트리키가 실행 된 후 인증을 바로 할것이므로 5번문제의 답인 악성 레지스트리 키값 MrRobot 다음에 비밀번호를 전송할거라 한다.
실제로 MrRobot 의 레지스트리 키가 실행 후 Xtreme 과 GrrCon2015 두개가 조건에 부합하는데
정답은 GrrCon2015 이다.
이렇게 문제에 접근을 했는데도 결정적인 부분을 유추하는것이 가장 힘들다고 생각한다.
'ctf-d' 카테고리의 다른 글
| ctf-d memory GrrCON 2015 #8 (0) | 2021.04.30 |
|---|---|
| ctf-d memory GrrCON 2015 #7 (0) | 2021.04.29 |
| ctf-d memory GrrCON 2015 # 5 (0) | 2021.04.29 |
| ctf-d network DefCoN #21 #6 (0) | 2021.04.28 |
| ctf-d network DeFCoN #21 #5 (0) | 2021.04.28 |