GrrCON 2015 #2

2022/Write-Ups 2022. 9. 27. 19:33

1팀 김나연

outlook.exe의 덤프파일을

strings 파싱한 파일(strings_3196.log)에서 메일 원본을 찾아보자

메일 원본은 URL을 찾으면 됨

http://식으로 검색

결과가 많으니

exe, pdf, docx, xlsx 형식으로 결과값 중에서 다시 검색

strings_3196.log에서

'http://'로 검색한 후 결과 값에서 다시 '.exe' 로 검색했을 때

결과가 3개 나온다.

검색 결과를 포함한 줄로 가보니

html 형식으로 메일 원본으로 보이는 내용을 찾았다.

내용을 메모장으로 옮겨서 보면

아래와 같다.

VPN software인 것처럼 속여 첨부파일을 보낸 것으로 추정된다.

<a>태그 안 첨부 파일은 AnyConnectInstaller.exe이다.

flag

AnyConnectInstaller.exe

S.W.F.S.