geunyeong's blog

멀웨어의 startAction 메서드를 보면 사용자의 바탕화면을 파일 암호화의 최초 폴더로 잡고 있다. 또한 encryptDirectory 메서드를 보면 암호화 할 파일들의 확장자 목록을 갖고 있다. 암호화 대상인 txt 파일을 먼저 찾아봤다. Rick 계정의 바탕화면에 Flag.txt가 보인다. HxD로 열어보니 임의 비트열 뿐이다. 암호화 된 듯 하다. 48바이트 이후론 모두 NULL 바이트여서 제거했다. 멀웨어의 EncryptFile 메서드를 보면 앞서 생성했던 15자리의 암호키를 SHA256로 해시화한 후 AES_Encrypt 메서드의 암호키로 넘기는 걸 볼 수 있다. public byte[] AES_Encrypt(byte[] bytesToBeEncrypted, byte[] passwordByte..

멀웨어의 Form1 코드를 보면 startAction이라는 메서드가 있다. CreatePassword를 호출하고 SendPassword, encryptDirectory 등을 차례로 호출한다. CreatePassword로 받은 값을 encryptDirectory에 넣는 걸로 보아 암호화에 사용되는 암호키 같다. CreatePassword 메서드는 정의된 문자열 범위 내에서 랜덤하게 문자를 뽑아 새로운 문자열을 만들어 반환한다. SendPassword는 컴퓨터 이름과 사용자 이름, 암호키를 하나로 합치기만 하고 아무 일도 안한다. (아마 실제 악성코드에서 서버로 키 정보를 전송하는 루틴을 삭제한 듯 하다.) 메모리 상에 3개 문자열(컴퓨터 및 사용자 이름, 암호키)을 연결한 문자열이 잔재해 있을 지도 모른다..

ILSpy를 이용하면 C# 프로그램 내부에 들어있는 이미지 같은 resource도 볼 수 있다. 프로그램 내부에 포함된 이미지 파일을 살펴보던 중 플래그를 발견했다. CTF{S0_Just_M0v3_Socy}

앞서 추출했던 악성코드가 .Net 프로그램임을 확인했었다. C#으로 만들어졌으리라 추측할 수 있다. ILSpy를 사용해 디컴파일 하면 Form1, Form2, Form3 총 3개의 클래스가 나온다. 그 중 Form3에서 정체불명의 문자열이 보였다. Bitcoin 주소 형식은 위와 같다. 1이나 3, bc1으로 시작하고, 27~34자 정도의 알파벳 및 숫자를 사용하며 0(숫자), O(대문자 o), I(대문자 i)는 사용하지 않는다. 위에서 찾은 문자열은 비트코인 주소 형식과 유사하다. CTF{1MmpEmebJkqXG8nQv4cjJSmxZQFVmFo63M}

좋지 않은 습관이라고 하니 우선 토렌트 먼저 조사한다. 멀웨어인 vmware-tray.exe의 부모 프로세스였던 "Rick And Morty"를 키워드로 yarascan으로 BitTorrent.exe 메모리를 서치했다. 처음부터 exe 파일을 다운로드 하는 토렌트 파일이 보인다. filescan으로 토렌트에 의해 다운로드 된 exe 파일을 찾아봤다. 총 3개가 나왔는데 2번째 파일은 텍스트 파일이었고 나머지 2개(1, 3번째)가 실행파일이었다. md5 해시값을 비교해보면 두 실행파일은 같은 파일임을 알 수 있다. 1.exe를 virustotal에 올리니 악성 프로그램으로 나온다. 토렌트를 통해 멀웨어가 유입되었음이 확실하다. .torrent 파일을 덤프뜨기 위해 filescan으로 오프셋을 알아낸다. 두..

프로세스 목록을 보면 Rick And Morty라는 문자열이 보인다. 검색해보니 미국 성인 애니메이션 시리즈다. 로 만든 게임도 있는 듯 한데 이 게임 프로세스에 vmware-tray.exe가 있는 것이 수상하다. 프로세스를 실행할 수 있는 exe 프로그램으로 추출한다. file 명령으로 확인하자 .Net assembly 파일로 나온다. virustotal에 올리자 악성 프로그램이라는 결과가 나왔다. CTF{vmware-tray.exe}

clipboard 플러그인을 사용해 클립보드 내용을 보면 된다. CTF{M@il_Pr0vid0rs}

yarascan을 이용하면 hex 값으로도 검색이 가능하다. {01 02 03} : "\x01\x02\x03" {01 02 0?} : "\x01\x02\x01" ~ "\x01\x02\x0F" {01 02 [2]} : "\x01\x02\x00\x00" ~ "\x01\x02\xFF\xFF" {01 02 [1-2]} : "\x01\x02\x00" ~ "\x01\x02\xFF\xFF" 문제에서 알려준 조건에 맞게 yara 규칙을 작성한 후 서치하면 된다. yara rules : {64 [6-8] 40 06 [18] 5a 0c 00 00} or {40 06 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 5a 0c 00 00} CTF{M0rtyL0L}

yarascan을 이용해 Lunar-3이라는 문자열을 검색하면 보인다. CTF{0tt3r8r33z3}

pstree 플러그인으로 프로세스 목록을 보던 중 LunarMS.exe라는 처음 보는 프로세스가 있어 검색해봤다. 메이플스토리와 비슷한 그래픽을 가진 사이트가 나온다. 할로윈 이벤트나 다운로드/인스톨 가이드 글 등 게임 사이트로 생각된다. LunarMS.exe의 네트워크 연결 정보를 보기 위해 netscan 플러그인을 사용하고 LunarMS.exe의 PID인 708로 필터링했다. Game Name: CTF{LunarMS} Server IP: CTF{77.102.199.102|