SuNiNaTaS의 30번문제 풀이입니다.
[FORENSIC]
해커가 김장군의 PC에 침투한 흔적을 발견하였다.
사고 직후 김장군의 PC에서 획득한 메모리 덤프를 제공받은 당신은 해커가 한 행동을 밝혀내야한다.
1. 김장군 PC의 IP 주소는?
2. 해커가 열람한 기밀문서의 파일명은?
3. 기밀문서의 주요 내용은? 내용속에 "Key"가 있다.
인증키 형식 : lowercase(MD5(1번답+2번답+3번키))
이번에는 1GB 짜리 메모리 덤프 파일이다.
메모리 분석 도구인 Volatility를 사용했습니다.
Volatility Linux 설치 방법
git clone https://github.com/volatilityfoundation/volatility.git
cd volatility
python setup.py build
sudo python setup.py install
편의를 위해서 MemoryDump(SuNiNaTaS) 파일명을 Mem으로 변경하고 풀었습니다.
명령어로 시스템 정보를 확인했다. 이 정보를 확인해야 플러그인 사용이 가능하기 때문이다.
ip 주소를 알아야 한다.
netscan을 이용해서 사용중인 ip와 port확인이 가능하다.
vol.py -f Mem --profile=Win7SP1x86 netscan
Local Address부분을 확인해 보면 ip주소가 192.168.197.138임을 확인할 수 있다.
문서를 열람했다면 그 문서를 읽는 프로세스가 실행되었다는 것이다.
pstree를 통해 프로세스들을 확인할 수 있다.
vol.py -f Mem --profile=Win7SP1x86 pstree
가장 의심해볼만한 것은 cmd.exe에서 실행된 notepad.exe인 것 같다.
정확히 cmd에 어떤 명령을 내렸는지는 cmdscan을 통해 알 수 있다.
vol.py -f Mem --profile=Win7SP1x86 cmdscan
C:\Users\training\Desktop\SecreetDocumen7.txt 파일을 연 것으로 보인다.
파일명 : SecreetDocumen7.txt
R-Stuido를 실행하고 메모리 덤프 파일을 불러와 스캔한 뒤, 해당 파일 경로로 이동해서 파일 내용을 확인했다.
key : 4rmy_4irforce_N4vy
MD5(192.168.197.138SecreetDocumen7.txt4rmy_4irforce_N4vy)
authkey : c152e3fb5a6882563231b00f21a8ed5f
