반응형

랜섬웨어 6

[2021CCE] Ransom - 포렌식 / XOR

이번엔 랜섬웨어에 관련된 문제이다. 랜섬웨어 악성코드인 cce_ransom.exe 랜섬노트인 cce_ransom_note.txt 그리고 그 아래 확장자가 .pdf_cce_ransom 으로 암호화된 파일들이 보인다. 랜섬노트를 열어 내용을 읽어본다. 파일들은 랜덤한 키를 기반으로 xor 암호화 되었다고 한다. 친절하게 두가지 풀이방법을 안내하는데 무차별 대입을 해서 기적적으로 암호화 키를 찾아내거나 암호화의 취약점을 이용해서 해결을 하면 된다고 한다. 조금만 생각해보면 아주 간단하게 해결할 수 있다. A XOR B = C 라면 C XOR B = A 가 되기 때문에 암호화된 파일을 똑같은 키로 한번 더 XOR 암호화 한다면 사실 복호화가 되는 것이다. 이렇게 암호화된 flag.pdf_cce_ransom 파일..

CTF/포렌식 2023.08.25

[2021 화이트햇 콘테스트] F-1 - 포렌식 / Wireshark

[2021 화이트햇 콘테스트] H-1 - 포렌 2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. F-1 문제는 이전 E-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/581) F-1 랜섬웨어로 암호화된 hwp 파일을 복호화 하여라 이번 문제는 랜섬웨어 악성코드로 암호화된 hwp 파일을 복호화 하는 문제였다. 이미지 내에 있는 수많은 암호화된 파..

CTF/포렌식 2023.07.31

[2020CCE] Ransomware infected system image analysis #1~3 - 포렌식 / Autopsy

이번부터 풀이할 문제는 2020년에 진행되었던 국정원 주최 사이버공격방어대회 본선 문제이다. 본선에서는 예선과 조금 다르게 침해사고 조사 위주로 문제가 나왔었다. 대회 당시에 캡쳐를 제대로 해놓지 않아서 기억에 의존해서 풀이를 작성하는거라 정확하지 않을 수 있다. 이번 문제는 랜섬웨어에 감염당한 시스템의 이미지를 분석하는 것이다. 문제파일로 주어지는것은 cce_final_mission_7_8.img 파일이다. 확장자가 img 인 파일은 디스크 이미지 파일이다. 전용 프로그램을 통해서 열어볼 수 있다. .img 확장자를 가지는 파일은 흔히 생각하는 그림파일의 그 이미지가 아니다. 이건 디스크 이미징 파일로 하드디스크 같은 저장매체를 그대로 덤프뜬 파일을 말한다. 실제로 파일 아이콘을 보면 저렇게 CD 모양..

CTF/포렌식 2022.11.20

[2020CCE] Easyransom - 리버싱 / IDA / HxD / XOR

2020년에 진행되었던 국정원 주최 사이버공격방어대회 묵혀놨던 Write Up을 이제야 포스팅 해 본다. 제목에서 알 수 있듯이 이번 문제는 랜섬웨어와 관련된 문제이다. 랜섬웨어는 몸값을 뜻하는 Ransom과 Software(소프트웨어)가 더하여진 합성어로 컴퓨터에 저장된 문서파일이나 사진 등을 암호화하고, 복호화하는 대가로 몸값을 요구하는 악성코드를 말한다. 문제파일로 두개의 파일이 주어진다. 하나는 easyransome.exex.exe 파일이고 다른 하나는 flag.txt.easyransom 파일이다. exe 파일이 랜섬웨어 역할을 하는 파일인것 같고, flag.txt.easyransom 파일은 flag.txt 파일이 암호화되어서 easyransom 으로 확장자가 바뀐듯 하다. 암호화된 파일을 HxD..

CTF/리버싱 2022.11.04

[HackArmour CTF] Sussy - 포렌식 / 랜섬웨어 / Strings

간만에 재미있는 포렌식 문제였다. 문제 자체 컨셉이 어몽어스와 관련되어 있어서 재미있었던거 같다. 문제 제목인 Sussy도 어몽어스를 할 때 임포스터로 의심되는 사람에게 하는 말이라고 한다. (Suspect / 용의자) 문제 파일로는 affected-folder 와 README.txt 파일이 주어진다. README.txt 파일을 열어보면 컨셉에 충실하게 어몽어스 캐릭터가 그려져 있고, 밑에는 문제 풀 때 주의사항이 나열되어 있다. - 인터넷과 연결되어 있을 것 - 악성코드는 오로지 그것이 존재하는 폴더에만 영향을 미친다. - 폴더로 들어가서 chmod +x ./sussy-malware 명령어로 바이너리 실행 권한을 부여해라 - 행동을 관찰하기 위해 파일 탐색기를 이용해라 - 악성코드의 행위를 보여주기 위..

CTF/포렌식 2022.05.29

[Space Heroes CTF] Buzz Ransomeware - 암호학 / XOR

암호학 문제이다. 사실 이 문제가 암호학에 분류되어있긴 했지만 풀다보면 암호학이 맞는건가 하는 생각이 든다. Buzz의 플래그가 랜섬웨어에 감염되었다고 한다. Buzz를 위해서 플래그를 복구시켜달라고 한다. 참고로 여기서 말하는 Buzz는 토이스토리에 나오는 그 버즈가 맞다. 랜섬웨어는 몸값(ransom)과 소프트웨어(software)의 합성어로 컴퓨터를 감염시켜서 중요한 문서나 사진파일들을 암호화하고, 암호를 풀어주는 댓가로 금전(몸값)을 요구하는 악성 소프트웨어의 한 종류를 말한다. 최근들어서 엄청나게 성행하고 있고, KISA 보고서 같은곳에도 주요 위협으로 랜섬웨어가 빠지지 않는다. 랜섬웨어 감염되면 답없으니 이상한 사이트 들어가거나 클릭하지 않도록 하자. 주어진 buzz.enc 파일을 hxd 프로..

CTF/암호학 2022.04.07
반응형