CTF/포렌식

[2022 화이트햇 콘테스트 본선] B-1 - 포렌식 / IDA

SecurityMan 2024. 1. 7. 11:00

 

2022 화이트햇 콘테스트 본선에 출제되었던 문제

 

이전 A-3 문제와 이어지는 문제이다.

(https://hackingstudypad.tistory.com/691)

반응형

 

B-1 문제는

 

DLL 형태로 정상 프로세스에 기생하는 악성코드가

 

악성 행위를 수행하는 주기를 밀리세컨즈 단위로 제출하는 것이 목표이다.

 

 

지난 A-2 문제에서

 

HxD 에서 발견한 BASE64 인코딩된 문자열을

 

CyberChef(https://gchq.github.io/CyberChef/) 에서

 

해당 부분의 Hex 값을 가져와 디코딩 했었는데,

 

스크롤을 조금 내려가 보면

 

레지스트리 키가 추가되는 부분을 확인할 수 있었다.

 

여기서 문제의 DLL 파일인 netmon.dll 을 식별할 수 있었다.

 

 

everything.exe 도구를 이용해

 

netmon.dll 이 System32 폴더 안에 있음을 확인했고

 

 

 

해당 dll 을 IDA 를 이용해 분석하여

 

수도코드를 확인해 본 결과

 

sub_180011C0 에서

 

Sleep(71756) 함수가 있는것을 확인했다.

 

Sleep 안에 인수로 들어가는 숫자는 밀리세컨드 단위이므로

 

이번 문제의 플래그는 

 

FLAG{71756} 이 된다.

반응형