CTF/OtterCTF

OtterCTF WriteUp - Path To Glory Write-up

geunyeong 2020. 4. 3. 17:02

좋지 않은 습관이라고 하니 우선 토렌트 먼저 조사한다.

 

멀웨어인 vmware-tray.exe의 부모 프로세스였던 "Rick And Morty"를 키워드로 yarascan으로 BitTorrent.exe 메모리를 서치했다. 처음부터 exe 파일을 다운로드 하는 토렌트 파일이 보인다.

 

filescan으로 토렌트에 의해 다운로드 된 exe 파일을 찾아봤다. 총 3개가 나왔는데

 

2번째 파일은 텍스트 파일이었고 나머지 2개(1, 3번째)가 실행파일이었다.

 

md5 해시값을 비교해보면 두 실행파일은 같은 파일임을 알 수 있다.

 

1.exe를 virustotal에 올리니 악성 프로그램으로 나온다. 토렌트를 통해 멀웨어가 유입되었음이 확실하다.

 

.torrent 파일을 덤프뜨기 위해 filescan으로 오프셋을 알아낸다.

 

두 파일 모두 덤프 뜬 후 file 명령으로 확인하면 1번째 파일만 토렌트 파일로 나온다.

 

strings로 토렌트 파일 속 문자열을 추출하면 플래그가 나온다.

 

CTF{M3an_T0rren7_4_R!ck}