Command & Control 4

Statement

Berthier, thanks to this new information about the processes running on the workstation, it’s clear that this malware is used to exfiltrate data. Find out the ip of the internal server targeted by the hackers!
The validation flag should have this format : IP:PORT
The uncompressed memory dump md5 hash is e3a902d4d44e0f7bd9cb29865e0a15de
먼저 볼라틸리티 실행
imageinfo = Win7SP1x86_23418, Win7SP0x86, Win7SP1x86_24000, Win7SP1x86
3개중에서 잘 쓰면 됨
원하는것은 네트워크 정보니까 netscan 명령어를 사용하자
vol.py -f "imagepath" --profile=Win7SP1x86_23418 netscan
Python
netscan_res.txt
14.9KB
악성코드가 데이터 유출을 했다고 하니까 프로세스가 어떤 행동을 했는지 분석해야한다. 먼저 악성코드를 찾아보자
vol.py -f "imagepath" --profile=Win7SP1x86 malfind
Python
malfind_res.txt
137.4KB
vol.py -f "imagepath" --profile=Win7SP1x86 consoles
Python
위 명령어로 어떤 명령어가 주고 갔는지 생각해보면 특이한 명령어가 오고간 것을 확인할 수 있다.
~/temp/imagedump/ram.dmp 를 winpmem-1.3.1으로 유출한 것으로 볼 수 있을까? 싶기도 하다
또 다른 실행을 보면
cmd → tcprelay,whoami,cmd 이렇게 실행하는데 네트워크 연결을 시도하는 tcprelay가 있어서 좀 눈여겨 볼 필요가 있다.
tcpreplay에 대해서 좀 자세히 보자
2168 프로세스인 conhost.exe를 봅시다. 여기서 뭔가 tcprelay로 해준것으로 의심할 수 있기 때문이다.
덤프에서 tcprelay를 찾아보자
연결할때 사용한 정보가 나와있다. 정확히는 사용한 명령어인가?
암튼 명령어 사용법에 대한 정확한 정보를 찾지는 못했다.
flag : 192.168.0.22:3389