HackTheBox 에서 제공하는 Easy 난이도의 포렌식 문제
문제 설명을 읽어보면 채용 담당자가 이상한 메일을 받아서 악성코드에 감염되었는데
이메일 사본과 메모리 덤프를 가지고 분석을 해달라 한다.
문제에서 제공되는 파일은
flounder-pc-memdump.elf 파일,
imageinfo.txt, Resume.eml 파일 세가지이다.
elf 파일이 메모리 덤프 파일이고,
imageinfo.txt 는 volatility 를 이용해 메모리 덤프 파일에 imageinfo 플러그인을 실행한 결과,
eml 은 이메일 사본이다.
eml 파일을 열어보면
resume.zip 파일에 링크가 걸려있는데
해당 링크는 http://10.10.99.25:8080/ 주소로 연결되어 있는걸 알 수 있다.
imageinfo.txt 파일에서 알아야할 정보는
Profile 맨 앞에 써있는 Win7SP1x64 이다.
이것만 알면된다.
메모리포렌식 문제를 풀 때는 아까도 언급했던 Volatility 라는 도구를 사용한다.
이 분야에서 거의 독보적인 툴이다.
https://www.volatilityfoundation.org/releases
Release Downloads | Volatility Foundation
Volatility releases are the result of significant in-depth research into OS internals, applications, malicious code, and suspect activities. Releases represent a milestone in not only our team's progress, but also in the development of the community and fo
www.volatilityfoundation.org
위 주소에서 다운로드 받을 수 있다.
vol.py 로 실행시키고
-f 옵션을 줘서 elf 파일을 지정한 뒤
--profile 로 아까 imageinfo.txt 에서 봤던 프로필을 적어준다.
그다음 pstree 플러그인으로 프로세스 트리를 확인했다.
맨 아래쪽에 보니 powershell.exe 가 실행된 흔적이 보이는데
악성코드들이 동작하는거 생각해보면 이게 가장 의심스러운 프로세스이다.
이번엔 netscan 플러그인으로 네트워크 상황을 살펴봤다.
powershell.exe 프로세스가 아까 메일에서 봤던 10.10.99.55 주소로 연결하는것을 보니
파워쉘이 악성 프로세스가 맞는것 같다.
파워쉘 실행흔적을 찾기 위해
filescan | grep PowerShell 을 이용해서 이벤트 로그 파일을 검색했다.
그중 Microsoft-Windows-PowerShell Operational.evtx 파일을 추출해 보았다.
dumpfiles 플러그인으로 해당 파일을 저장한다.
-Q 로 메모리 주소를 써주고 -D 로 경로를 지정한다.
덤프된 파일을 열어보면
플래그가 써있는걸 볼 수 있다.
'워게임 > HackTheBox' 카테고리의 다른 글
| [HackTheBox] Impossible Password - 리버싱 / IDA (61) | 2023.04.18 |
|---|---|
| [HackTheBox] xorxorxor - 암호학 (78) | 2023.04.09 |
| [HackTheBox] USB Ripper - 포렌식 / Python (56) | 2023.03.23 |
| [HackTheBox] MarketDump - 포렌식 / Wireshark (42) | 2023.03.21 |
| [HackTheBox] Cat - 포렌식 / Android (70) | 2023.03.19 |