Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SECCON 2016 Online CTF [Memory Analysis] Write-Up (ver.korean)

1,207 views

Published on

SECCON 2016 Online CTF Write-Up
- Memory Analysis (Forensics 100points) -

Korean version.

Published in: Software
  • Be the first to comment

  • Be the first to like this

SECCON 2016 Online CTF [Memory Analysis] Write-Up (ver.korean)

  1. 1. SECCON 2016 Online CTF Write-Up - Memory Analysis (Forensics 100points) - by Alchemic (KoreaTech 이세한)
  2. 2. 2 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 다음과 같은 문제가 주어집니다. 가짜 svchost 로 인하여 접속되는 사이트를 찾아서, 그 사이트에 접속을 하면 플래그를 얻을 수 있다고 설명합니다.
  3. 3. 3 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 문제 파일을 다운로드 받으면 위 그림과 같은 압축 파일로 받아지고, 압축을 해제하면 [forensic_100.raw] 이미지 파일을 얻을 수 있습니다. 이제 이 파일을 포렌식 툴 중 하나인 [Volatility Tool]을 이용하여 조사해보면 됩니다.
  4. 4. 4 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] [Volatility Tool] 을 이용하여 먼저 이 이미지파일이 어떤 파일인지 정보를 보기 위해 “imageinfo” 명령어를 이용하여 살펴보았습니다. 위 그림과 같이 Windows XP 환경의 이미지 파일임을 확인할 수 있습니다.
  5. 5. 5 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] “pstree” 명령어로 프로세스 트리를 확인하면 svchost 중 인터넷 연결이 되는 의심스러운 svchost.exe 파일을 발견할 수 있습니다. (빨간색 박스 표시)
  6. 6. 6 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 의심이 갔던 “svchost.exe” 프로세스를 덤프를 해서 살펴보기 위해 “procdump” 명령어를 이용하여 덤프를 합니다. 덤프를 한 파일을 조사해보면 위 그림과 같이 의심스러운 사이트 주소가 나타나게 됩니다. “C:program FilesInternet Exploreriexplorer.exe http://crattack.tistory.com/entry/ Data-Science-import-pandas-as-pd”
  7. 7. 7 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 의심스러운 사이트 주소를 알아냈으니 이 주소의 IP 주소를 확인해보면 “175.126.170.110” 이라는 주소를 알아낼 수 있습니다. 하지만 실제 연결된 IP 주소가 다른 것을 확인할 수 있습니다. (153.127.200.178) 이를 통해 도메인 관련 변조가 있을 것이라는 추측을 할 수 있습니다.
  8. 8. 8 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 처음 문제에 제시되어있던 두 번째 힌트인 “Check the hosts file”을 참고하여 hosts 파일을 조사해보도록 하겠습니다. 이로써 도메인 관련 변조를 확인하였으며 “153.127.200.178”로 연결이 된 것을 확인할 수 있습니다.
  9. 9. 9 SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)] 앞서 확인한 IP 주소와 앞서 확인한 사이트 주소를 잘 조합하여 확인해보면 플래그 값을 얻을 수 있습니다. crattack.tistory.com  175.126.170.110 hosts 확인 결과, 153.127.200.178  crattack.tistory.com 변조가 되었으므로, 플래그(flag) 값을 얻기 위해서는 변조된 주소인 [http://153.127.200.178/entry/Data-Science-import-pandas-as-pd] 로 접속을 하면 됩니다.
  10. 10. 10 The flag is... SECCON{_h3110_w3_h4ve_fun_w4rg4m3_} SECCON 2016 Online CTF Write-Up [Memory Analysis (Forensics 100points)]
  11. 11. Thank You! Contact sehands@koreatech.ac.kr

×