ctf-d memory GrrCON 2015 #21

공격자의 일정대로 공격자가 보안 관리자의 PC에 예약된 작업을 만든 것으로 보인다. 스케줄링 작업과 연결된 파일의 이름은 무엇인가? 라는 문제이다.

 

처음 보는듯한 문제다. 구글링 해보니 예약된 작업은 \Window\Tasks 의 경로에 생성된다고 한다.

 

그 경로에는 job 파일이 대부분의 파일인데 이것을 한번 filescan으로 살펴보도록 하겠다.

 

빙고! Windos\Tasks 경로 안에 At1.job 이라는 파일이 들어있다.

그렇다면 주소를 같이 찾았으니 dump 파일을 떠보도록 합시다!

 

 

txt로 바꿔보려 했는데 안된다;; 뭐가 문제인지 모르겠다. 그래서 다시 online hex editor를 사용하기로 했다.

 

1.bat 이라는 파일이 c\users\gideon 안에 있는것이 보인다. ]

 

그렇다면 1.bat 이라는 파일이 filescan을 통해서 실제하는지 찾아봐야 한다.

 

 

실제 파일이 존재하길래 dump 를 떠서 분석해보기로 했다.

 

이번에는 또 잘된다.

 

아무튼 cmd.exe /c wce.exe =w > C:\Users\gideon\w.tmp 가 존재하는 것을 볼 수 있다. 

 

따라서 cmd를 이용하여 w.tmp를 만든 스케줄링 작업과 연관된 파일은 1.bat 이라고 할 수 있다.

 

flag : 1.bat