#About
평소에 PC 게임을 즐겨하던 왕별난 양은 누군지 알 수 없는 신원미상의 해커로부터 당신의 PC는 해킹되었으며, 당신의 일상생활을 담은 영상이 있으니, 이 영상을 유포하지 않는 조건으로 금품을 달라고 요구하고 있다. 이 해커가 사용한 C&C서버의 IP주소와 Port 번호를 적으시오.
(인증 형식은 IP_Port)
#Solution
[그림 1] - 문제 파일 확인
메모리 덤프 파일을 제공 받았으며 곧 바로 분석을 위해 Volatility를 이용해 메모리 덤프를 한 시스템 정보를 확인했다
[그림 2] - Imageinfo
Imageinfo 명령을 통해 메모리를 덤프한 시스템의, 시스템 정보를 얻었으며 Suggested Profile 필드를 통해
다른 플러그인을 사용함에 있어 필요한 --profile에 전달되는 파라미터 값을 얻을 수 있었다
문제에서 요구하는 내용은 해커가 사용한 C&C서버의 IP와 Port번호이므로 네트워크 관련 명령어인 netscan을 사용했다
[그림 3] - netscan
netscan은 포렌식에 있어 네트워크 아티팩트를 찾아주는 역할을 하며, TCP Endpoints와 listeners,
UDP Endpoints와 listeners등을 찾아주며 메모리 덤프로부터 연결/종료된 네트워크 세션을 확인가능하다
또한 netscan 명령어는 32bit와 64bit의 Windows Vista, 2008 Server, 7에서 사용가능하다
문제로 돌아가 네트워크 세션을 살피다보면 아래에서 Owner의 이름이 의심스러운 것을 확인가능 하다
[그림 4] - 의심스러운 Owner 발견
svchost.exe.ex라는 이름을 가지는 레코드에서, 로컬에서 원격으로 연결 요청을 시도한 상태인 SYN_SENT을 확인할 수 있다
이는 문제에서 일어난 시나리오와 연관지을 수 있으며 그 시나리오는 아래와 같다
네트워크 통신을 하는 악성코드 또는 바이러스의 감염으로 인해 해커는 사용자 웹 캠 정보를 탈취했고
그 정보를 사용자의 로컬에서 해커의 C&C서버인 210.220.131.43:34251로 웹 캠 정보를 전송했다
Answer = 210.220.131.43_34251
'Wargame' 카테고리의 다른 글
| [Cresendo] Network Problem 01 (0) | 2017.11.10 |
|---|---|
| [Cresendo] Memory Problem 03 (0) | 2017.11.10 |
| [Cresendo] Memory Problem 01 (0) | 2017.11.09 |
| [Cresendo] Shim Cache Problem 01 (0) | 2017.11.09 |
| [Cresendo] LNK Problem 05 (0) | 2017.11.08 |