2. 2
SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)]
다음과 같은 문제가 주어집니다.
가짜 svchost 로 인하여 접속되는 사이트를 찾아서, 그 사이트에 접속을 하면 플래그를
얻을 수 있다고 설명합니다.
3. 3
SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)]
문제 파일을 다운로드 받으면 위 그림과 같은 압축 파일로 받아지고,
압축을 해제하면 [forensic_100.raw] 이미지 파일을 얻을 수 있습니다.
이제 이 파일을 포렌식 툴 중 하나인 [Volatility Tool]을 이용하여
조사해보면 됩니다.
4. 4
SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)]
[Volatility Tool] 을 이용하여 먼저 이 이미지파일이 어떤 파일인지 정보를 보기 위해
“imageinfo” 명령어를 이용하여 살펴보았습니다.
위 그림과 같이 Windows XP 환경의 이미지 파일임을 확인할 수 있습니다.
5. 5
SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)]
“pstree” 명령어로 프로세스 트리를 확인하면 svchost 중 인터넷 연결이 되는 의심스러운
svchost.exe 파일을 발견할 수 있습니다. (빨간색 박스 표시)
6. 6
SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)]
의심이 갔던 “svchost.exe” 프로세스를 덤프를 해서 살펴보기 위해
“procdump” 명령어를 이용하여 덤프를 합니다.
덤프를 한 파일을 조사해보면 위 그림과 같이 의심스러운 사이트 주소가 나타나게 됩니다.
“C:program FilesInternet Exploreriexplorer.exe http://crattack.tistory.com/entry/
Data-Science-import-pandas-as-pd”
7. 7
SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)]
의심스러운 사이트 주소를 알아냈으니 이 주소의 IP 주소를 확인해보면
“175.126.170.110” 이라는 주소를 알아낼 수 있습니다.
하지만 실제 연결된 IP 주소가 다른 것을 확인할 수 있습니다. (153.127.200.178)
이를 통해 도메인 관련 변조가 있을 것이라는 추측을 할 수 있습니다.
8. 8
SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)]
처음 문제에 제시되어있던 두 번째 힌트인 “Check the hosts file”을 참고하여
hosts 파일을 조사해보도록 하겠습니다.
이로써 도메인 관련 변조를 확인하였으며 “153.127.200.178”로 연결이 된 것을
확인할 수 있습니다.
9. 9
SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)]
앞서 확인한 IP 주소와 앞서 확인한 사이트 주소를 잘 조합하여 확인해보면
플래그 값을 얻을 수 있습니다.
crattack.tistory.com 175.126.170.110
hosts 확인 결과, 153.127.200.178 crattack.tistory.com
변조가 되었으므로, 플래그(flag) 값을 얻기 위해서는 변조된 주소인
[http://153.127.200.178/entry/Data-Science-import-pandas-as-pd]
로 접속을 하면 됩니다.