SuNiNaTaS [FORENSIC 30번] 풀이

2018. 8. 8. 22:23

SuNiNaTaS의 30번문제 풀이입니다.

[FORENSIC]

해커가 김장군의 PC에 침투한 흔적을 발견하였다.

사고 직후 김장군의 PC에서 획득한 메모리 덤프를 제공받은 당신은 해커가 한 행동을 밝혀내야한다.

1. 김장군 PC의 IP 주소는?

2. 해커가 열람한 기밀문서의 파일명은?

3. 기밀문서의 주요 내용은? 내용속에 "Key"가 있다.

인증키 형식 : lowercase(MD5(1번답+2번답+3번키))

이번에는 1GB 짜리 메모리 덤프 파일이다.

메모리 분석 도구인 Volatility를 사용했습니다.

Volatility Linux 설치 방법

git clone https://github.com/volatilityfoundation/volatility.git

cd volatility

python setup.py build

sudo python setup.py install

편의를 위해서 MemoryDump(SuNiNaTaS) 파일명을 Mem으로 변경하고 풀었습니다.

vol.py -f Mem imageinfo

명령어로 시스템 정보를 확인했다. 이 정보를 확인해야 플러그인 사용이 가능하기 때문이다.

ip 주소를 알아야 한다.

netscan을 이용해서 사용중인 ip와 port확인이 가능하다.

vol.py -f Mem --profile=Win7SP1x86 netscan

Local Address부분을 확인해 보면 ip주소가 192.168.197.138임을 확인할 수 있다.

문서를 열람했다면 그 문서를 읽는 프로세스가 실행되었다는 것이다.

pstree를 통해 프로세스들을 확인할 수 있다.

vol.py -f Mem --profile=Win7SP1x86 pstree

가장 의심해볼만한 것은 cmd.exe에서 실행된 notepad.exe인 것 같다.

정확히 cmd에 어떤 명령을 내렸는지는 cmdscan을 통해 알 수 있다.

vol.py -f Mem --profile=Win7SP1x86 cmdscan

C:\Users\training\Desktop\SecreetDocumen7.txt 파일을 연 것으로 보인다.

파일명 : SecreetDocumen7.txt

이제 이 파일의 내용을 확인해야 한다.

R-Studio라는 데이터 복구 프로그램을 통해 해당 파일내용확인이 가능하다.

해당 프로그램을 설치할 때, RStuido랑 헷갈리면 안된다..

R-Stuido를 실행하고 메모리 덤프 파일을 불러와 스캔한 뒤, 해당 파일 경로로 이동해서 파일 내용을 확인했다.

key : 4rmy_4irforce_N4vy

MD5(192.168.197.138SecreetDocumen7.txt4rmy_4irforce_N4vy)

authkey : c152e3fb5a6882563231b00f21a8ed5f

M4ndU의 만두만두한 블로그