1. TET & 4N61. Explanation Command&Control 서버의 IP 주소와 Port 번호를 얻기 위하여 raw format의 메모리 덤프 파일을 분석한다. 메모리 포렌식 도구인 Volatility의 netscan 명령어를 활용하면 활성화된 네트워크 정보를 얻을 수 있다. imageinfo 명령어로 위와 같이 Profile 정보를 얻은 후에 위와 같이 netscan 명령어로 네트워크로 연결된 시스템의 ip주소와 port 번호를 알 수 있다. 해당 명령어에서 식별된 모든 Foreign Address에서 유일하게 활성화된 주소이기에 172.20.25.15:4444가 악의적인 사용자의 C2 서버의 IP와 Port 번호임을 유추해 볼 수 있다. 문제 파일에서 이미징 파일인 Backup.ad1..
