-
Memory Forensics - 사용자 행위 파악 (MemLabs Lab 3)DreamHack/포렌식 2025. 1. 7. 20:56
들어가기 앞서
더보기문제가 꽤나 Lab2 때와는 다르게 단순해졌다.
형식은 inctf{flag} 형식이고, 1개의 플래그가 2개로 쪼개져 나뉘어져있다.
그리고 리눅스 패키지 중에 steghide 라는 패키지가 있는데
이름부터 스테가노그래피를 의심 안할수가 없다.그리고 악성 스크립트가 시스템에 있는 정보를 암호화했고, 이를 복구해야한다.
아마 steghide 패키지는 암호화를 하거나 복호화를 하거나 둘 다 가능하거나한 패지키로 추정된다.
일단 난 vmware가 있으니까 거기에 설치해놓은 리눅스에서 한번 써보면 될듯하다.
설치까지 해놨고...
이제 문제를 풀어보자.
1. 첫번째 플래그
더보기악성스크립트가 돌아갔다면 의심스럽게 봐야할게 뭐가 있을까...
일단 악성스크립트에 의해서 새로운 프로세스가 만들어졌을 수도 있고,
그로인한 파일의 암호화가 이루어졌으므로, 암호화된 파일도 사용된 메모리 덤프에서 찾을 수 있을 것이다.
python C:\Users\R\Desktop\도구\volatility3-develop\vol.py -c config.json -f .\MemoryDump_Lab3.raw windows.pslist > pslist.log
로 일단 먼저 프로세스 목록부터 만들어서 확인해보자.
프로세스 목록을 확인해봐도 딱히 특이하게 보이는 프로세스는 없었다.
그렇다고 내가 프로세스마다 고정된 pid 값을 외우지도 않았고...
그래서 일단 메모리에 남아있는 파일을 출력시키기로 했다.프로세스 목록을 보니 일단 사용자는 hello 라는 계정 말고는 없어서 hello의 바탕화면쪽의 파일들도 찾아보다보니
evilscript.py.py 이라는 파일을 찾았다.
누가봐도 문제에서 제시해준 악성 스크립트이다.python C:\Users\R\Desktop\도구\volatility3-develop\vol.py -c config.json -f .\MemoryDump_Lab3.raw windows.dumpfiles --physaddr 0x3de1b5f0
을 이용해서 뽑아보자.
확장자가 py니까 일단 visual studio 로 열어보자.
해당 스크립트의 내용은 악성코드와 함께 첫번째 전달된 인자를 xor 연산하고 base64 인코딩을 하여 암호화된 내용을 바탕화면의 vip.txt 에 저장하는 기능을 갖는다.
그러므로 base64 디코딩을 해주고 xor 연산을 역으로 다시 해주면 원본 평문으로 돌아온다.
일단 바탕화면의 vip,txt 를 확인했고, 이를 뽑아내기까지 했다.
am1gd2V4M20wXGs3b2U= 라는 내용이 있다. 이걸 base64 디코딩해주면 jm`wex3m0\k7oe 이라는 문자열이 나온다.
jm`wex3m0\k7oe 이라는 문자열을 첫번째 인자로 입력해주고 xor 연산만 똑같이 해주는 코드로 악성스크립트를 수정해주면 원본 평문이 vip.txt 라는 파일로 바탕화면에 나올 것이다.
intf{0n3_h4lf 가 첫번째 플래그이다.
2. 두번째 플래그
더보기두번째 플래그가 어디에 있을까 고민을 많이했는데
스테가노그래피를 연상시키는 패지키를 사용해야할듯했다.
근데 그 와중에
바탕화면에 suspision1.jpeg 라는 파일이 있다.
느낌이 딱 이 파일을 스테가노그래피 기법이 적용되었는지 패키지로 확인해서 추출하면 나올듯하다.편의상 sus,jpeg로 바꾸고 scp 명령어로 내 우분투 서버로 보내줘서 패키지를 사용할 것이다.
이제 steghide 사용법을 모르니까 지피티센세한테 물어볼 차례이다.
암호는 첫번째 플래그가 필요하다는 말이 기억나서 그걸 넣었다.
비밀번호를 inctf{0n3_h4lf 로 입력해주면 secret text 라는 파일로 숨겨진 스테가노그래피 파일이 나온다.
와 풀이 하나도 안보고 다 찾았다.
플래그는 _1s_n0t_3n0ugh} 이다.
역시 오래 공부한 보람이 있구나
감을 찾아가고 있숴....
'DreamHack > 포렌식' 카테고리의 다른 글
Memory Forensics - 사용자 행위 파악 (MemLabs Lab 2) (0) 2025.01.06 이벤트 로그 (참고) [지속수정] (2) 2024.11.16 Autoruns (0) 2024.10.11 Find the USB (1) 2024.10.06 Corrupted Disk Image (3) 2024.10.06