GrrCON 2015 #1

1팀 김나연

 

 

제공된 파일 확장자가 vmss다.

vmss파일이 뭔지 찾아봤다.

 

vmss파일

(VMware Suspended State File)

VM웨어 일시 중단 된 상태일 때 상태를 저장한 파일

VM이 중지된 위치에서 VM을 재개하는 데 사용됨.

 

 

우선 volatility imageinfo 명령으로

운영체제를 식별

<Win7SP1x86>

 

분석하기 위해 

미리 명령어.log 파일 형식으로 저장해둔다.

 

pslist 결과값을 봤을 때

메일 관련된 프로세스를 찾아보니

 

OUTLOOK.EXE를 찾았다.

PID는 3196

 

outlook.exe를 메모리 덤프해서 메일 원본을 보자

 

volatility_2.6_win64_standalone.exe -f .\Target1-1dd8701f.vmss --profile=Win7SP1x86 memdump -p 3196 -D .\dumps\

 

 

생성된 3196 덤프파일

 

3196 프로세스를 strings 명령 실행

strings.exe .\dumps\3196.dmp > strings_3196.log

 

outlook.exe의 덤프파일을 strings 한 파일에서

메일 주소를 찾아보자.

 

'@'로 검색 후 검색 결과 중 '.com'으로 다시 검색했다.

 

 

메일을 보낸 시점, 받는 사람, 보낸 사람 주소를 발견

받는 사람은 frontdesk@allsafecybersec.com

보낸 사람은 th3wh1t3r0s3@gmail.com

 

 

 

flag값

th3wh1t3r0s3@gmail.com