ctf-d memory GrrCON 2015 #3

AllSafeCyberSec 사용자들을 피싱한 것으로 보인다고 한다. 악성코드를 찾아보자. 

 

아마 악성코드가 숨겨진 파일은 2번 문제에서 나온  AnyConnectInstaller.exe를 이용하여 공격했을 가능성이  높다.

 

따라서 AnyConnectInstaller.exe를 살펴보자  

 

filescan 과 grep을 이용해도 되고 grep 대신에 findstr을 사용해도 된다. 필자는 grep을 사용하였다.

 

filescan은 말 그대로 파일을 찾는것이다.

 

하나씩 덤프파일을 떳다

 

근데 첫번째꺼는 아래와 같은 파일 하나

 

두번째꺼는 두개의 파일이 떳다. 

그래서 이 두가지를 virus total에다가 넣어보기로 했다.

 

3df12dd0은 클린하다.

 

3df1cf00은 매우 불편하다..

 

이미지 파일에도 많다... 다른것은 다 익숙한데 XRAT이라는게 자주 보여서 구글링을 해보니 

 

요놈이 답이다.