K-Shield 주니어/스터디CTF

Cyberdefenders - Sysinternals Lab(추후 수정)

pkse74 2025. 4. 17. 22:49

이번 문제는 난이도가 Medium 이라 한다

Tools가 굉장히 많다 

대충 파악할수 있는건

Registy Explorer -> 레지분석

Event Log Explorer -> 이벤트로그 분석

AppCompatCachParser -> Shimecache 분석 하는거같고

VirusTotal -> 악성코드인지 확인할수있는거같고

FTK Imager -> 이걸로 구조파악을 해서 풀라는거같고

Web Cache View -> 웹브라우저 캐시 쉽게 보는거같고

Autopsy -> 하드디스크, USB, 메모리 카드 등 저장장치를 분석해서 삭제된 파일, 웹 활동, 타임라인, 사용자 활동 등을 추적할 수 있는 디지털 포렌식 도구입니다.

 

흐름이 대충

1. FTK Imager로 구조 파악하고

2. reg,log,cache 등등 분석해서

3. virustotal 에 넣어서 악성인지아닌지 파악하는 그런 흐름이지 않을까 예상을 살짝해본다 아닐수도있다..

대본을 보아하니 다운로드 파일에 악성코드,바이러스가 심어져있어서 컴퓨터가 맛탱이갔다는 뜻이다

FTK imager로 downloads 폴더를 찾아본 결과 SysInternals.exe 라는프로그램이 있는걸 확인하였다.

 

11/15/2022 09:18:51 PM 이다

처음에 멀웨어의 SHA1 해시값이라 하길래 FTK Imager 에서 sysinternal 의 해시값을 뽑았다

그래서 9ac352c38bb6a94ab949aced3d8ef6c302cf5cd3 이 답인줄 알았는데 답이 아니었다

그래서 찾아보니 Amcache안에도 해시값이 들어있다는걸 알았다

그래서 FTK Imager로 Amcache를 뽑아낸후

 Amcacheparser.exe 로 amcache의 내용을 분리했다

뽑아내고 나면 이러한 파일들이 생성되는데 다 찾아본 결과 Sysinternal이란 파일의 정보는 UnassociatedFileEntries.csv 에 나와있다.

sysinternal의 특성을 살펴보니 SHA1의 값이 아까 본거랑 다르게 들어가있다.

답 : fa1002b02fc5551e075ec44bb4ff9cc13d563dcf

 

* 해시값이 다른 이유 : Amcache에 저장된 SHA-1 해시는 실행 당시의 원본 파일 기준이고,
FTK Imager에서 뽑은 SHA-1은 지금 존재하는 실제 파일 기준이다.

즉, 이 파일이 실행된 이후 변경됐을 가능성이 매우 높다.

 

* 변경이 된 이유 :

  • Amcache는 실행될 때 파일 정보를 기록한다.
  • 그 이후 파일이 덮어쓰기되거나 수정되면 해시가 달라진다.
  • 특히 포터블 툴이나 백도어 심은 실행파일이 이럴 수 있다.

 

 

뜬금없이 Alibaba 공급업체, 패밀리라는 단어가 보일것이다

이는 VirusTotal에서 Alibaba백신이 이 멀웨어를 무엇이라 부르는지 알아내라는 것이다.

https://www.virustotal.com/gui/home/search

 

VirusTotal

 

www.virustotal.com

VirusTotal 사이트를 들어간다음에 

아까 알아냈던 해시값을 넣으면 결과가 나오는데

Rozena가 Family 가 되는것이다.

답 : Rozena

VirusTotal에서 relations항목에 contacted domains 항목을보면 거기서 첫번째 매핑이라했으니 c.lencr.org가답이다 라고 생각했는데 

detections 에서 0/94인거보니 매핑이 되지않았다.

항목을 더 찾아보면

첫번째 매핑된 도메인은 malware430.com 인것을 확인할수가있다. detections가 9/94

하지만 정규화된 도메인 이름이라 했으니

www.malware430.com이  정답이다

답 : www.malware430.com 

 

매핑된 도메인을 nslookup으로 확인해보았다.

DNS서버에서는 www.malware30.com 를 찾을수 없다고한다.

그렇다는것은 /etc/hosts 파일에 직접 dns주소랑 IP를 매핑했을 가능성이 있다.

윈도우에서 hosts파일의 경로는

C:\Windows\System32\drivers\etc\hosts 이다
FTK Imager로 확인해보면

192.168.15.10 <-> www.malware430.com  이랑 매핑 되어있다     

답 : 192.168.15.10

일단 삭제된 실행파일을 찾아보려고 Prefetch가 있는지 확인해보았다.

왜 존재하는지 확인하냐면 window 구 버전에서는 파일로 존재하지 않는다 해서

프리패치가 존재해서 추출한뒤 winprefetchview로 확인해보려고했는데

프리패치 여러개가 삭제된것을 확인할수가있엇다..

진짜로 삭제된건지 비교해봣는데

csrss.exe-8c04d631.pf가 삭제되어있다고나와잇지만

뭐지 내용이 남아있다..

왜 그런진 잘모르겠다..

파워셀은 흔적이없는걸로보아하니 중요한부분만 삭제햇나보다..

virustotal에서 대충뭐햇는지 알아보니 ToolUpdater.exe.라는것을 만드는거같다 vmtoolsO.exe라는 파일도 중요한거같고

일단 그냥 수상해보이는 거같아서 여러가지 가져와봣다

프리패치로는 확인이 불가능할거같아서 이벤트 로그를 분석해보려고한다.

분석하기전에 

wmiprvse.exe가 무슨일을 햇을수도있다