[ctf-d] GrrCON 2015 #4

4팀 김기연

 

이전 문제 풀이

https://ukkiyeon.tistory.com/203

 

악성코드에 인젝션된 프로세스 PID?

 

 

AnyConnectInstaller.exe 실행 흔적으로 살펴보면 되지 않을까

 

 

++

전에는 outlook.exe의 PID를 확인하고, 이걸로 메모리 덤프(memdump)해서, strings.exe 실행했음.

추출된 strings에서 url을 찾아보려 검색했더니 AnyConnectInstaller.exe 관련 url이 나왔고, 피싱 메일도 발견했음.

즉, 죄다 strings로 해결했다 ..

 

 

이번에는 iexplore.exe를 procdump해서 실행파일 살펴보려 함.

(해보라고 하셨다 ..)

 

 

pslist.log에서 iexplore.exe PID 확인 -> 2996

 

 

++

전에는 memdump -p 2996으로 메모리 덤프했음.

이후 strings를 통해 iexplore.exe에서 AnyConnectInstaller.exe를 다운받은 것으로 보였음.

 

 

procdump하기

 

 

2996.dmp는 memdump 결과고, executable.2996.exe는 procdump 결과임.

 

 

strings 해봤는데, 뭐가 많이 눈에 띄긴 했음.

 

 

악성코드 이름 발견 ..

 

 

그럼 이번에는 OUTLOOK.EXE procdump 해보wk PID 3196

 

 

iexplore.exe랑 똑같이 procdump하고 strings까지 해줌.

전에는 memdump 결과에서 strings해서 메일 내용 알아냈음. 

흠 근데 이 방향이 아닌 것 같음.. (OUTLOOK)

 

 

ektl..

 

 

프로세스 인젝션?

: 정상 프로세스에 공격자가 악성 코드나 라이브러리 등을 인젝션하여 실행시키는 것

- 인젝션에 호출될 수 있는 API

   - VirtualAllocEx: 원격 프로세스의 메모리에 공간을 할당하기 위해 사용됨.

   - WriteProcessMemory: 할당된 공간에 데이터를 쓸 때 사용됨

참고 https://j3rrry.tistory.com/84

 

암튼 악성코드에 인젝션된 정상 프로세스의 PID를 찾으면 되는 것 같은데,

아까 위에서 iexplore.exe procdump하고 strings한 결과에서 VirtualAllocEx랑 WriteProcessMemory 검색해봤더니 찾을 수 있었음. 음 이 프로세스에서 저 API들을 사용했구나 ..

 

 

전에 출력해둔 pstree.log 살펴보면, iexplore.exe는 자식 프로세스로 cmd.exe가 실행되고, 부모 프로세스는 없음.

즉, 독립적으로 실행되고 있는 걸 알 수 있다.

그리고 원래, iexplore.exe는 explorer.exe 하위에서 실행되어야 하는데 독립적으로 실행되고 있다.

(직접 ie 실행해서 process explorer로 확인하고 비교해보면 알 수 있음. 하지만 난 팻스.ㅎ)

 

 

결론 ..

iexplore.exe가 explorer.exe 하위에서 실행되고 있지 않고,

procdump 결과, 프로세스 인젝션에 호출되는 API 관련 문자열들이 검색되었음.

따라서 iexplore.exe가 악성코드에 의해 인젝션된 것으로 보인다.

 

 

해결 ~