[xcz] prob 24 Memoryyyyy Dumpppppp

http://xcz.kr/START/prob/prob24.php

http://xcz.kr/START/prob/prob24.php

 

키 형식 : (Process Name_PID_Port_Process Execute Time(Day of the week-Month-Day-Hour:Min:Sec-Years)
ex (explorer.exe_1234_7777_Mon-Jan-01-12:00:00-2012)

 

주어진 파일의 압축을 해제하면 xczprob2라는 파일을 얻을 수 있다.

 

일단 메모리 덤프 문제는 손을 대 본 적이 거의 없어서 어떤 툴을 사용해 분석을 해야 하는지 찾아보다 Volatility라는 툴을 알게 되었다.

 

https://www.volatilityfoundation.org/26

Volatility 2.6 Release

 

위에 있는 홈페이지에서 다운로드를 했는데 왜인지 크롬에서는 다운로드가 자꾸 실패하는 바람에 다른 브라우저를 통해 다운로드를 해 주었다. (참고: https://i-am-seongni.tistory.com/52)

 

분석할 파일을 volatility 폴더에 넣어 주어야 분석이 가능하다고 한다.

 

cmd 창을 열어 cd를 사용해 volatility가 있는 파일로 진입해 준 뒤

volatility_2.6_win64_standalone.exe -f xczprob2 imageinfo를 입력해 이미지 프로파일을 확인해 주었다.

 

volatility의 명령어를 알아보다 psscan을 사용하면 pid와 pidd로 출력이 되고 은닉된 프로세스까지 출력해 준다고 하여 psscan을 사용해 보았다.

 

psscan을 사용할 때에는 메모리 파일의 profile 정보가 필요한데 이는 imageinfo로 구할 수 있다.

위의 cmd 창을 확인해 보면 이 메모리 파일의 profile은 WinXPSP2x86이다.

 

구하긴 했는데... 무엇인지 모르겠다.

 

이번에는 pslist 플러그인을 통해 확인해 보았다.

 

감이 도저히 잡히지 않아 다른 분의 라이트업을 참고했더니 

PID = 164, PPID = 1124인 cmd.exe가 nc.exe의 하위 프로세스로 동작을 했으며 또 그 하위로 PID = 616, PPID = 164인 cmd.exe가 존재하는 것이 explorer.exe의 하위로 동작하는 cmd.exe와는 다른 동작 양상을 띄고 있어 매우 의심스럽다는 사실을 알 수 있었다.

 

또한 connections을 통해 네트워크 연결 정보를 확인했더니 Local과 Remote의 연결이 단 한 개 발견되었고 PID는 1124이다.

 

nc.exe와 PID 값이 동일한 것을 보아 작업 프로그램들을 전부 날린 악성 프로세스가 nc.exe로 보인다.

 

추가로 psxview 플러그인을 통해 확인해 보면 nc.exe이 은닉이 되어 있다는 것을 알 수 있다.

 

따라서 nc.exe 프로세스에 대해 알게 된 것들을 키 형식에 따라 적으면 문제를 풀 수 있다!

 

어렵게만 생각했는데 명령어의 종류와 의미를 알게 되니 어느 정도 이해를 하며 풀 수 있었던 것 같다.

다음 메모리 덤프 문제는 혼자 풀어 보고 싶다....