#About
해당 메모리덤프 파일은 악성코드에 감염된 PC의 메모리를 덤프 한 것이다.
본 메모리 덤프에서 악성코드를 찾아 exe 파일 형식으로 다운로드 한 후 해당 악성코드의 해쉬값을 인증하여라.
(추출은 exe 형식의 파일로 추출하며, sha-1 해쉬를 인증한다.)
#Solution
[그림 1] - 문제 파일 확인
문제에서 제공받은 메모리 덤프 파일을 확인했으며 곧 바로 volatility를 이용해 이미지 정보를 확인했다
[그림 2] - 이미지 정보 확인
imageinfo 명령을 통해 얻은 메모리 덤프를 진행한 시스템의 서비스팩 정보를 얻을 수 있었다.
문제에서 제시한 PC는 악성코드에 감염되어 있으므로, 악성코드가 실행된 프로그램의 프로세스가 메모리에 상주하고 있을 것이다
따라서 프로세스 정보를 보기위한 명령어 pstree를 이용했으며 결과는 아래와 같다
[그림 3] - 프로세스 정보 확인
악성코드는 주로, 기본 프로세스와 유사해 자세히 보지 않으면 알기 어려운 이름을 가지거나 DLL 기반 서비스를 관리하는 svchost.exe를 주로 건드린다
svchost.exe는 윈도우즈 서비스를 백그라운드로 구동되는 프로세스이며, 서비스 제어 관리자인 services.exe에 의해 관리된다
만약 services.exe에 의해 관리되는 svchost.exe가 services.exe의 자식 프로세스가 아니거나, explorer.exe 또는
다른 프로세스 또는 단독으로 메모리에 상주한다면 svchost.exe라는 이름을 가진 악성코드일 확률이 매우 높다
이를 바탕으로 [그림 3]을 살펴보면 svchost.exe들의 PPID가 532이며, PID는 위의 설명과 동일하게 Services.exe의 PID임을 확인할 수 있다
[그림 4] - 의심스러운 svchost.exe 확인
위 그림에서 모든 svchost.exe는 PPID 532인 services.exe의 하위 프로세스로 돌아가고 있지만, 마지막에 위치하는 svchost.exe는 PPID 3868를 가진다
따라서 해당 메모리에 상주하고 있는 악성코드는 PID 3876을 가지는 svchost.exe이다
이를 문제에서 요구하는, exe 파일형식으로 추출하기 위해서 아래와 같이 procexedump 명령을 사용했으며 성공적으로 추출해낼 수 있었다
[그림 5] - Procexedump 명령을 이용한 파일 추출
[그림 6] - SHA-1 해시 값 확인
Answer = 819883BC936337F525BC6D520562E5D785F1C64E
'Wargame' 카테고리의 다른 글
| [Cresendo] Network Problem 02 (0) | 2017.11.11 |
|---|---|
| [Cresendo] Network Problem 01 (0) | 2017.11.10 |
| [Cresendo] Memory Problem 02 (0) | 2017.11.09 |
| [Cresendo] Memory Problem 01 (0) | 2017.11.09 |
| [Cresendo] Shim Cache Problem 01 (0) | 2017.11.09 |