본문 바로가기
기타/워게임

[SuNiNaTaS] 30번

zoome22 2023. 7. 18. 19:56

볼라틸리티 사용 연습.. ~

 

 

 

사용을 위해 볼라틸리티 3 도구 파일 안에 메모리 덤프 파일을 함께 넣어놓는다.

 

덤프 파일에 대해 분석 가능한 형태로 프로파일을 추출했다.

메모리 덤프 파일 안에서 유의미한 정보들을 뽑는 것으로 볼라틸리티 사용의 시작이다.

처음 실행했을 때는 필요한 파일들을 추가적으로 다운받기 때문에 시간이 오래 걸린다.

python vol.py -f "MemoryDump(SuNiNaTaS)" windows.info

 

본격적으로 분석을 하려고 했더니 아래와 같은 오류가 떴다.

netscan 명령어가 볼라틸리티에 없다는 것이다... 그럴리없는데

 

볼라틸리티3에서는 명령어 맨끝에 -vv 옵션을 붙이면 에러의 원인을 출력해준다.

실행에 필요한 모듈이 없는 에러였다.

 

해결하기 위해 볼라틸리티3의 모든 플러그인에 필요한 모듈을 설치해주었다.

pip3 install -r requirments.txt

해결 참조 : https://github.com/volatilityfoundation/volatility3/issues/671

 

 

볼라틸리티에서 네트워크 행위를 분석하는 플러그인은 netscan이다. 

python vol.py -f "MemoryDump(SuNiNaTaS)" windows.netscan

대부분의 src(출발지) ip가 192.168.197.138인 것을 보아 사용자의 ip는 192.168.197.138인 것을 알 수 있었다.

 

 

볼라틸리티에서 cmd 창에 입력한 커맨드를 출력하는 명령어는 cmdline이다.

python vol.py -f "MemoryDump(SuNiNaTaS)" windows.cmdline

메모장으로 SecreetDocumen7.txt라는 파일이 열렸던 기록을 확인했다.

 

 

그럼 이 문서의 내용을 알아내야 하는데, 볼라틸리티에서는 파일을 복구할 수 있다.

메모리 상에 올라갔던 파일의 섹션을 그대로 잘라서 복구하는 것이다.

이 기능을 사용하기 위해서는 해당 파일이 정확히 메모리의 어느 주소부터 시작했는지를 알아야 한다.

파일이 올라갔던 메모리 주소 등 디테일한 파일 정보가 알고 싶다면 filescan 명령어를 쓰면 된다.

python vol.py -f "MemoryDump(SuNiNaTaS)" windows.filescan

SecreetDocumen7.txt의 시작 메모리는 0x3df2ddd8이었다.

 

참고로 이러한 명령어는 모든 파일의 디테일 정보를 출력하기 때문에 데이터 양이 굉장히 많다.

메모리 포렌식을 하는 것은 한순간의 pc 정보 전체를 분석하는 것과 같기 때문에 늘 많은 데이터와 함께할 수밖에 없다.

이러한 상황을 해결하기 위해, 명령어 실행 결과를 txt 파일로 빼고 Ctrl+F로 특정 조건을 검색하는 경우가 많다.

python vol.py -f "MemoryDump(SuNiNaTaS)" windows.filescan > file.txt

 

 

파일을 복구하기 위해 dumpfiles 명령어를 사용한다.

또한 특정 파일을 명시하기 위해 해당 파일의 직접적인 물리 메모리 주소를 --physaddr 옵션으로 주면 된다.

python vol.py -f "MemoryDump(SuNiNaTaS)" windows.dumpfiles --physaddr 0x3df2ddd8

 

실행 경로에 복구된 파일이 .dat 파일로 만들어진다.

 

.dat 확장자를 삭제하고 메모장으로 열어주면 key 값이 나온다.

 

 

1번 답 ) 192.168.197.138

2번 답 ) SecreetDocumen7.txt

3번 답 ) 4rmy_4irforce_N4vy

-> lowercase(MD5(192.168.197.138SecreetDocumen7.txt4rmy_4irforce_N4vy)) : https://coding.tools/kr/md5

-> lowercase(C152E3FB5A6882563231B00F21A8ED5F) : https://www.convertstring.com/ko/StringFunction/ToLowerCase

-> c152e3fb5a6882563231b00f21a8ed5f

 

볼라틸리티 찍먹? 같은 느낌이었다

참고 자료와 함께해서 바로 cmdline을 받아왔는데 그것보다는 공격자가 무슨 행위를 했는지 순서를 파악하기 위해 userassit로 응용프로그램 기록을 확인하는 게 먼저라고 한다

참고 자료

https://cpuu.postype.com/post/9993241

 

volatility3를 활용한 메모리 분석 (1) - Windows 10

개요 메모리 포렌식 분석의 사실상의 표준이라 할 수 있는 Volatility가 3.0 개발이 진행 중이다. volatility 는 2016년 12월에 2.6 버전이 출시되었고, 2018년 12월에 2.6.1버전이 출시된 것이 마지막 업데이

cpuu.postype.com

 

'기타 > 워게임' 카테고리의 다른 글

[ctf-d] GrrCON 2015  (0) 2023.07.29
[Reversing.kr] Music Player  (0) 2023.07.19
[CodeEngn] Basic RCE L05  (0) 2023.07.03
[xcz.kr] prob30  (0) 2023.05.19
[xcz.kr] prob 9  (0) 2023.05.16

'기타/워게임' Related Articles

티스토리툴바