Digital_forensic/CTF

[TetCTF 2024] TET & 4N6 Write-up

neck392 2024. 5. 29. 06:22

1. TET & 4N6

<문제 설명>
<문제 파일>

1. Explanation

 Command&Control 서버의 IP 주소와 Port 번호를 얻기 위하여 raw format의 메모리 덤프 파일을 분석한다. 메모리 포렌식 도구인 Volatility의 netscan 명령어를 활용하면 활성화된 네트워크 정보를 얻을 수 있다.

 

<imageinfo 확인>

imageinfo 명령어로 위와 같이 Profile 정보를 얻은 후에

 

<활성화된 주소 식별>

위와 같이 netscan 명령어로 네트워크로 연결된 시스템의 ip주소와 port 번호를 알 수 있다. 해당 명령어에서 식별된 모든 Foreign Address에서 유일하게 활성화된 주소이기에 172.20.25.15:4444가 악의적인 사용자의 C2 서버의 IP와 Port 번호임을 유추해 볼 수 있다.

 문제 파일에서 이미징 파일인 Backup.ad1FTK Imager로 분석해본다.

<파일 경로 목록>

 

정상적으로 잘 열리기에 파일 시스템에서 따로 손상된 부분은 없음을 알 수 있고, 사용자 폴더의 AppData 하위 폴더 및 데이터들을 확인 할 수 있다. 문제 설명을 보고 해당 경로에 존재하는 아티팩트들을 유추해본다.

CTF rules를 읽었다고 하였기에 사용자가 최근에 실행한 파일, 폴더, 애플리케이션등의 목록을 저장하는 윈도우의 점프리스트(Jump List)의 Recent 폴더에 들어가보면

 

  • \Roaming\Microsoft\Windows\Recent

<점프리스트 확인>

 

TetCTF2024-Rules.docx라는 docx format의 파일을 실행하였음을 알 수 있으며 이와 관련된 문서형의 악성코드에 감염되었음을 유추할 수 있다.

  • \Roaming\Microsoft\Templates

<template에서의 dotm 파일>
<윈도우 방화벽에서 위혐 식별>

 

해당 경로의 Normal.dotm 파일 클릭시 위와 같이 윈도우 방화벽에서 Trojan형태의 Malware를 식별하는 알림창이 뜬다.

dotm format의 파일은 Microsoft Word에서 사용하는 매크로가 포함된 템플릿이다.

이 파일 형식은 Word 문서의 구조, 스타일, 서식 등을 저장하며 VBA(Visual Basic for Applications) 스크립트를 활용한 매크로를 포함한다.

VBA Script에 악성코드를 넣을 수 있기에 Normal.dotm 파일을 추출한 후에 OfficeMalScanner를 이용하여 VBA Script를 추출해본다.

<Run OfficeMalScanner>
<OfficeMalScanner로 추출한 파일>

 

위와 같이 2개의 파일이 추출되며 여기서 "NewMacros" 파일을 열어보면

<악의적 목적을 가진 사용자의 C2서버로 추정되는 ip 주소와 port번호>
<수상한 문자열>

위와 같이 악의적인 목적을 가진 사용자의 Command & Control sever로 추정되는 ip 주소와 port 번호와 스크립트 마지막에 수상한 문자열을 확인 할 수 있다. 볼라틸리티로 메모리를 분석해 본 결과와 일치하기에 해당 ip 주소와 port 번호가 C2 서버의 IP와 Port번호임을 알 수 있고, 수상한 문자열을 Base64로 5번 Decoding하면

<base64로 5번 반복 복호화 결과>

 

Flag1: VBA-M4cR0 를 찾을 수 있다. 

Google Chrome 웹 브라우저의 방문 기록, 다운로드 기록 등의 사용자가 방문한 웹 사이트와 관련된 정보가 저장되어 있는 SQLite 데이터베이스 형식의 다음과 같은 History 정보를 확인해본다.

  • \Local\Google\Chrome\User Data\Default\History

<db format 확인>

 

16bytes의 SQLite db format의 헤더를 식별할 수 있으며 DB Browser for SQLite를 이용하여 데이터베이스 파일을 열어보면

<urls table에서 flag 2 식별>

 

urls 테이블에서 위와 같이 Flag 2: R3c0v3rry_34sy_R1ght? - Pastebin.com를 얻을 수 있다.

 

이외에도 nirsoftChromeCacheView를 사용하여 Flag 2를 획득할 수 있다.

  • Path: AppData\Local\Google\Chrome\User Data\Default\Cache\Cache_Data

위에서 얻은 플래그들을 조합하면 최종적으로 TetCTF{172.20.25.15:4444_ VBA-M4cR0_ R3c0v3rry_34sy_R1ght?}가 된다. 

'Digital_forensic > CTF' 카테고리의 다른 글

스펙트로그램(Spectrogram)의 주파수 스펙트럼 데이터 은닉 관련 풀이 방안  (0) 2024.11.05
네트워크 패킷에서 공격자 IP, 침입 프로토콜(포트), 타임라인 분석  (0) 2024.11.05
[Dreamhack] Snowing! Write-up  (0) 2024.01.28
[DEBUG] upgradepng1.png Write-up  (1) 2024.01.27
[DEBUG] ExpertPNG Write-up  (1) 2024.01.27

'Digital_forensic/CTF'의 다른글

  • 현재글[TetCTF 2024] TET & 4N6 Write-up

관련글

티스토리툴바