워게임200 [Memory] GrrCON 2015 #23 게싱 python vol.py -f pos1.vmss --profile="Win7SP1x86_23418" malfind -p 3208 -D ./ 저장된 dmp 파일 virustotal에 올려보기 Dexter라는 공통된 문자열이 눈에 띈다. Dexter 2021. 12. 14. [Memory] GrrCON 2015 #22 https://whitesnake1004.tistory.com/698 Memory - GrrCON 2015 #22 새로운 파일이기 때문에 imageinfo 를 해보겠습니다. Win7SP0x86 을 사용하면 될 것 같습니다. 멀웨어의 C&C 서버를 찾는 문제입니다. malfind 플러그인 을 이용하면 뭘웨어를 찾을 수 있습니다. 해당 프 whitesnake1004.tistory.com 이 풀이가 나에겐 와닿지 않는다. 순전히 제가 생각한 흐름이니까 틀린 점 있으면 알려주세요. "내가 생각하는" 풀이의 흐름은 이렇다. c&c 서버라고 했으니까 netscan결과를 봐야겠다. 여러 결과가 나오는데 iexplore.exe가 딱 하나 있고 눈에 띈다. 54.84.237.92가 답이라고 생각이 들지만, 더 정확히 판.. 2021. 12. 14. [Memory] GrrCON 2015 #21 윈도우니까 예약 작업을 .bat 파일로 만들었을 가능성이 크다. python vol.py -f target2-6186fe9f.vmss --profile="Win7SP1x86" filescan | grep ".bat" python vol.py -f target2-6186fe9f.vmss --profile="Win7SP1x86" dumpfiles -Q 0x000000003f427e50 -D ./ 열어보니까 w.tmp 파일을 만든 배치 프로그램이 맞다. 1.bat 2021. 12. 14. [Memory] GrrCON 2015 #17 공격자가 프론트 데스크 컴퓨터에서 보안 관리자 컴퓨터로 접속했다고 했으니 원격 접속임을 유추할 수 있다. 그렇다면 cmd창에서 명령어를 입력했을 가능성이 높다. cmdscan wce.exe에 주목 filescan dumpfiles gideon\ALLSAFECYBERSEC:t76fRJhS 비밀번호는 t76fRJhS 겠죠?? 2021. 12. 13. [Memory] GrrCON 2015 #16 netscan 원격 데스크톱이란다. 10.1.1.21 2021. 12. 13. [Memory] GrrCON 2015 #15 pstree TeamViewer.exe가 답인줄 알았는데 Teamviewer.exe가 답이다. ㅡㅡ 2021. 12. 13. 이전 1 2 3 4 5 6 7 ··· 34 다음
