Test

#About

Berthier, befroe denying any traffic on the firewall, in order to be sure to drop all communications and perhaps find out other infected computers. We wnat to be sure that we knows all C&C.

The validation password is a fully qualified domain name : host.domaine.tld

Here we are, reverse this malware !

The uncompressed memory dump md5 hash is e3a902d4d44e0f7bd9cb29865e0a15de

NB : This challenge require the clearance of the level 3.

#Solution

[그림 1] - 문제 파일 확인

주어진 메모리 덤프 파일은 512MB이며 이를 분석하기 위해 먼저 운영체제 정보를 확인해 보았다.

[그림 2] - 운영체제 정보 확인

Suggested Profile 필드를 통해 인자로 전달할 값을 확인했고, 가장 먼저 아래와 같이 프로세스를 살펴보았다

[그림 3] - 악성 프로세스 확인

살펴 본 결과, explorer.exe 하위에서 동작해야 할 cmd.exe가 iexplore.exe의 하위로 동작하고 있음을 통해 iexplore.exe가 

악성프로세스일 가능성이 높을 거라 판단, 메모리로부터 PID 값 2772를 가지는 해당 프로세스를 아래와 같이 추출해냈다

[그림 4] - 메모리로에 상주하던 악성 프로세스 추출

추출 후, 악성의 유무를 확인하기 위하여 바이러스 토탈을 이용, 49개의 백신사에서 악성임을 나타냈다

[그림 5] - 바이러스토탈을 이용한 프로그램의 악성 유무 확인

또한 비교 분석을 위해 HYBRID-ANALYSIS로 분석 결과, 아래와 같이 문제에서 요구하는 해커의 C&C서버를 확인할 수 있었다

[그림 6] - DNS Request Query 확인

인증키 = th1sis.l1k3aK3y.org

실제로, 악성코드 실행 후 와이어샤크를 통해 DNS 요청 쿼리를 확인하면 위와 같이 해커의 C&C 서버의 도메인을 확인할 수 있다.