좋지 않은 습관이라고 하니 우선 토렌트 먼저 조사한다.
멀웨어인 vmware-tray.exe의 부모 프로세스였던 "Rick And Morty"를 키워드로 yarascan으로 BitTorrent.exe 메모리를 서치했다. 처음부터 exe 파일을 다운로드 하는 토렌트 파일이 보인다.
filescan으로 토렌트에 의해 다운로드 된 exe 파일을 찾아봤다. 총 3개가 나왔는데
2번째 파일은 텍스트 파일이었고 나머지 2개(1, 3번째)가 실행파일이었다.
md5 해시값을 비교해보면 두 실행파일은 같은 파일임을 알 수 있다.
1.exe를 virustotal에 올리니 악성 프로그램으로 나온다. 토렌트를 통해 멀웨어가 유입되었음이 확실하다.
.torrent 파일을 덤프뜨기 위해 filescan으로 오프셋을 알아낸다.
두 파일 모두 덤프 뜬 후 file 명령으로 확인하면 1번째 파일만 토렌트 파일로 나온다.
strings로 토렌트 파일 속 문자열을 추출하면 플래그가 나온다.
CTF{M3an_T0rren7_4_R!ck}
'CTF > OtterCTF' 카테고리의 다른 글
| OtterCTF WriteUp - Graphic's For The Weak Write-up (0) | 2020.04.03 |
|---|---|
| OtterCTF WriteUp - Bit 4 Bit Write-up (0) | 2020.04.03 |
| OtterCTF WriteUp - Hide And Seek (0) | 2020.04.03 |
| OtterCTF WriteUp - Silly Rick Write-up (0) | 2020.04.03 |
| OtterCTF WriteUp - Name Game 2 Write-up (0) | 2020.04.03 |