티스토리 뷰
해당 포스트에서는 CTF-D GrrCon 2015 문제에 대한 정리입니다.
아래 포스트를 먼저 보고 오시는걸 추천합니다.
https://infosec-noh.tistory.com/11
CTF-D, GrrCon 2015 with volatility
해당 포스트에서는 CTF-D의 GrrCon 2015 #1 문제에 대한 분석입니다. 해당 문제를 제공하는 사이트는 현재 막혀있는 상태로 파일 다운을 원하고자 하면 댓글 남겨주세요. 1. 운영체제 식별 해당 파일
infosec-noh.tistory.com
1. GrrCon 2015
- 운영체제 식별
- Win7SP1X86
- 프로세스 검색
- Teamviewer 관련 프로세스(tv_w32.exe)
- explorer 하위 프로세스 (mstsc.exe, OUTLOOK.exe)
- 인터넷 익스플로러 (iexplorer.exe, cmd.exe)
- 네트워크 분석
- 공격자 IP: 180.76.254.120:22
- PID: 2996
- CMD 분석
- cmdline >> tv_w32.exe 수상 >> 조사해보니 정상 프로세스
- cmdscan, consoles >> 악성 실행파일 발견(wce.exe)
- 파일 분석
- wce.exe: 관리자 계정을 포함하여 패스워드를 가져오는 실행파일
- w.tmp: wce.exe의 실행 결과로 출력된 파일
- AnyConnectlnstaller.exe: Outlook 메일로부터 출력된 실행파일
- 프로세스 세부 분석
- Outlook.exe의 메모리 덤프로부터 피싱 메일 발견(Hello Mr. Wellick ..) + AnyConnectlnstaller.exe URL 확보
- iexplorer.exe 메모리 덤프로부터 공격의 흔적 발견
- Teamviewer 관련 프로세스는 정상 프로세스로 판단
GrrCon 2015 - 분석 결과
- 침입 경로
- Outlook 피싱 메일을 통해 Any Connectlnstaller.exe 다운로드 유도
- 악성 행위
- AnyConnectlnstaller.exe 실행파일 발견
- iexplorer.exe 내부에서도 공격의 흔적 발견
- wce.exe를 통해 관리자 패스워드를 가져오고 w.tmp 파일로 저장함
- 추가 공격
- mstsc를 이용한 추가 공격 예상
GrrCon 2015 - 추가 분석 가능한 부분들
- iexplorer.exe 추가 분석 - procdump로 실행파일 살펴보기
- Outlook 메모리 덤프로부터 공격자 이메일, 피해자 이메일 찾아보기
- 공격자가 사용한 도구들과 구체적 행위 파악하기(consoles.log)
- 공격자의 추가 공격 행위 파악(mstsc, gideon)
'CTF > CTF-D' 카테고리의 다른 글
| CTF-D Cridex 정리 & 추가 분석 (0) | 2024.03.09 |
|---|---|
| CTF-D, GrrCon 2015 with volatility (0) | 2024.02.29 |
| CTF-D Cridex 기초 분석 with Volatility (0) | 2024.02.23 |