멀웨어가 시스템에 부여한 ID는 무엇인지 물어보는 문제이다. 이 문제를 보자마자 editbox가 떠올랐다. 또한 4번 문제에서도 이미 우리는 ID를 찾았었다. flag : 528812561

피싱 메일을 전송한 발신자 이메일 주소는 무엇인지 물어보는 문제이다. pslist로 이메일에 관련된 프로그램이 없는지 먼저 살펴본다. OUTLOOK.EXE가 있다. 이메일 관련 실행파일이다. DUMP를 떠서 분석해보도록 하자. memdump를 사용해 txt 파일을 추출한 뒤에 메일에 관련된 단어를 검색해보기 시작했다. ~~.com 을 예상하고 넣어봤지만 12472개나 된다... from 도 1891개나 되서 하나씩 찾다가 운좋게 금방 찾았다!!! flag: karenmiles@t-online.de

원격 접근을 가능하게 하는데 사용한 멀웨어 시스템의 암호를 물어보는 문제이다. dump 파일을 추출해서 파일을 계속 보다가 editbox라는 볼라틸리티 명령어를 발견했다. editbox는 모든 사용자 세션에서 모든 응용프로그램에 대한 텍스트를 복구한다. 따라서 우리가 찾는 암호, ID, 컴퓨터 이름 및 다양한 정보들이 복구된다. flag : P59fS93m

멀웨어의 버전을 물어보는 문제이다. 멀웨어는 2016 1번 문제에서 찾은 SkypeC2AutoUpd의 버전을 묻는 문제라고 생각되었다. 그래서 SkypeC2AutoUpd의 Pid를 구해 dump를 떠서 내용을 확인해보기로 하였다. 1번 문제에서 살펴본 파일과 똑같은 파일인것 같다. imageinfo를 사용해 버전을 획득한다. pslist를 사용하여 pid를 획득한다. 덤프파일을 만든 후 string file로 바꿔준다. 그렇다면 지금까지는 2번문제와 동일하지만 멀웨어의 버전을 설치할때는 아마 1번문제의 답이었던 54.174.131.235와의 통신에서 답을 찾을 수 있을걸 생각했다.(보통 python 같은 프로그램을 깔면 버전도 같이 나오기 때문) 버전과 비슷해 보이는 문자들이 나온다. flag : 0.2..

악성코드의 User Agent 문자열은 무엇인지 물어보는 문제이다. 문자열을 찾기 위해서 1번 문제에서 찾은 Sky~~C2~~의 Pid 를 찾아야 할것이다. pslist롤 찾아준 후 dump를 진행하고 txt로 바꿀것이다. 역시 많은 양의 문자열이 있다. 이중에서 User Agent 문자열을 찾아야 한다. 많은 양의 useragent가 있었지만 =가 들어간 문자는 이 문자열 뿐이다. 근데 정답이 나오지 않는다. Key format 이라도 주지... 해결하지는 못했다.

저번에 2015 문제를 다 풀지 못했는데 마지막 문제의 용량이 8기가인데 자꾸 다운받는데 오류가 났다. 그래서 어쩔수 없이 2016 문제 먼저 풀어보기로 했다. 문제에서 악성코드 C2가 어느 주소를 통해 감염되었냐고 물어보는 문제이다. 피해자의 ip는 10.1.1.122 라고 한다. 압축을 해제해준다. 그 후 vmem 파일의 imageinfo를 통해 target pc의 운영체제를 확인한다. 그리고 ip 간의 통신을 확인하려고 netscan을 사용하기로 했다. 악성코드 C2 = SkypeC2AutoUpd 인것을 알 수 있고 10.1.1.122에서 54.174.131.235와 통신한다. flag : 54.174.131.235