윱

[문제]

https://los.rubiya.kr/chall/cobolt_b876ab5595253427d3bc34f1cd8f30db.php

[문제 풀이]

  $query = "select id from prob_cobolt where id='{$_GET[id]}' and pw=md5('{$_GET[pw]}')";

• 우선 이 쿼리문을 통해 pw를 전달받으면 md5로 암호화한다는 것을 알게 되었습니다.

  if($result['id'] == 'admin') solve("cobolt");

• 그래서, 위 쿼리문을 통해 id를 받아오면 그 id가 'admin'이면 문제를 풀 수 있을 거라는 사실을 알았습니다.

• 위에서 쿼리문 분석을 바탕으로 id를 admin으로 넘겨주고 뒤에를 주석처리를 해서 pw 조건을 무효화하는 방법을 시도했습니다.
• 따라서, URL의 php뒤에 ?id=admin'%23을 입력해서 문제를 해결했습니다.
• 여기서 %23은 php 주석으로 쿼리문의 뒷 내용을 주석처리 해줍니다.

[문제]

https://tryhackme.com/r/room/ohsint

• OSINT는 공개된 무료 소스에서만 수집되는 위협 인텔리전스의 하나의 유형이다.
• 이 문제는 OSINT 기술을 활용하여 제공된 이미지를 기반으로 답을 찾아야 한다.

[문제 풀이]

What is this user's avatar of?

• 먼저 해당 이미지를 다운로드 후 Exiftool을 사용해서 메타데이터를 분석했습니다.
• Copyright 필드에서 OWoodflint라는 정보를 얻었습니다.
• 더 정보를 얻기 위해 구글에 검색을 했더니 해당 이름으로 트위터 계정이 떴고 아바타는 고양인 것을 발견했습니다.

답: cat

What city is this person in?

• 해당 계정에 들어가니 사용자가 작성한 트윗 중 BSSID를 발견했습니다.
• 이 BSSID를 BSSID + Wigle.net 힌트를 이용해서 wigle.net에서 검색을 했습니다.

• wigle.net에서 검색을 통해 사용자는 London에 있다는 것을 알아냈습니다.
• 해당 기능을 사용하려면 계정이 있어야 합니다! advanced search를 통해 분석했습니다.

답: London

What is the SSID of the WAP he connected to?

• wigle.net에서 BSSID와 연관된 SSID도 찾을 수 있었습니다.

답: UnileverWiFi

What is his personal email address?

What site did you find his email address on?

 

• 아까 구글에 검색했을 때 트위터 계정 밑에 깃허브 페이지도 같이 있었는 데 이번에는 정보를 더 얻기 위해 깃허브 페이지에 들어갔습니다.

Where has he gone on holiday?

• 이번에는 Github 페이지 이메일 주소 밑에 있는 wordpress 블로그에 들어가 봤습니다.

• 들어가 보니 지금은 New York에 있다는 사실을 알아냈습니다.

답: New York

What is the person's password?

 

• 먼저 힌트를 이용해 소스 코드를 확인하라고 해서 wordpress의 페이지의 소스 코드를 확인했습니다.
• 비밀번호와 관련된 단서를 찾기 위해 password, flag, hint 같은 키워드를 검색했지만 정보를 얻을 수 없었습니다.
• 그래서 이 부분은 다른 블로그를 참고하니 주석 부분에 password가 숨겨져 있었던 좀 까다로웠던 문제였습니다..

답: pennYDr0pper.!

• 참고: https://medium.com/@wilklins/ohsint-tryhackme-writeup-ea01eb975072

[문제]

https://blueteamlabs.online/home/challenge/meta-b976cec9e2

[문제 풀이]

Q1. What it the camera model?

https://hackingstudypad.tistory.com/263

• 이번 문제는 ExifTool을 사용해서 각 파일 이미지를 분석할 것입니다.
• ExitTool 사용법은 위 링크를 참고했습니다.

• 폴더 안에 exitftool 도구와 문제 파일을 같이 넣어놓고 폴더이름 있는 곳에 cmd를 입력해서 cmd창을 실행했습니다.
• 그다음, exiftool 파일명을 입력하면 이미지의 메타데이터를 추출해 주는데 그 데이터 속에 camera model 정보를 확인할 수 있었습니다.

답: Canon EOS 550D

Q2. When was the picture taken?

• 질문에 답을 찾기 위해 메타데이터에서 Date/Time Original과 Create Date 정보를 찾았고 그 결과 답을 얻을 수 있었습니다.

답: 2021:11:02 13:20:23

Q3. What does the comment on the fitst image says?

• 이번에도 첫 번째 이미지의 메타데이터에서 정보를 찾기 위해 Comment 섹션을 찾았습니다.
• Comment 섹션에서 답을 바로 발견할 수 있었습니다.

답: relying on altered metadata to catch me?

Q4. Where could the ciminal be?

• 이 문제는 리버스 이미지 검색을 통해 범인의 위치를 찾아내야 합니다.

• 그래서 구글 이미지 검색 엔진을 통해 이미지들을 넣어서 정보를 알아내려고 했는데 첫 번째 이미지는 부정확하게 나와서 두 번째 이미지를 넣었더니 도시가 카트만두임을 알아냈습니다.

답: Kathmandu

[문제]

SOC에서 네트워크에 새로 합류한 PC에서 암호화폐 채굴과 관련된 트래픽이 발생했다는 알림을 받았습니다.

이에 대응하여, Incident Response 팀이 즉시 조치를 취했으며, 해당 트래픽이 브라우저 애플리케이션에서 발생하고 있음을 확인했습니다.

팀은 FTK Imager를 사용해 모든 주요 브라우저 데이터를 수집했고, 이제 당신이 ad1 파일을 이용해 암호화폐 채굴 활동을 조사해야 합니다.

https://blueteamlabs.online/home/challenge/browser-forensics-cryptominer-aa00f593cb

[문제 풀이]

Q1. How many browser-profiles are present in Google Chrome?

• 먼저 FTK Imager 툴을 이용해서 파일을 열어 분석했습니다.
• 프로필 폴더 개수를 확인하기 위해 Default 폴더 외에 Profile 1, Profile 2와 같은 이름의 폴더들이 몇 개인지 확인했습니다.
• profile 1 같은 이름의 폴더들은 각 폴더가 하나의 프로필을 나타냅니다.
• 이 파일에서는 Default와 Profile 1 2개의 폴더가 있는 것을 알 수 있었습니다.

답: 2

Q2. What is the name of the browser theme installe on Google Chrome?

• 먼저 FTK Imager에서 Preferences 파일을 열었습니다.
• "theme" 또는 "extension" 키워드를 검색했더니 설치된 테마의 ID 또는 이름 정보가 포함된 JSON 데이터가 표시됐습니다.
• 테마 ID를 Google에서 검색했더니 해당 테마 이름을 찾을 수 있었습니다.

답: Earth in Space

Q3. Identify the Extension ID and Extension Name of the cryptominer

• extensions 항목 아래에서, 설치된 확장 프로그램들의 ID가 나열이 되어있습니다. 각각의 manifest.json 파일을 열어 확장 프로그램의 name을 분석했더니 cryptominer의 name을 알아낼 수 있었습니다.

답: egnfmleidkolminhjlkaomjefheafbbb, DFP Cryptocurrency Miner

Q4. What is the description text of this extension?

• 3번 문제의 같은 파일에서 확장 프로그램의 description도 발견할 수 있었습니다.

답: Allows staff members to mine cryptocurrency in the background of their web browser

Q5. What is the name of the specific javascript web miner used in the browser extension?

• 확장 프로그램의 javaScript 파일을 확인하기 위해서는 background.js, content.js, main.js 파일을 분석하기로 했습니다.
• background.js 파일에서 name of the specific javascript web miner을 발견할 수 있었습니다.

답: cryptoloot

Q6. How many hashes is the crypto miner calculating per second?

• background.js에서 hashesPerSecond 함수를 통해 몇 초마다 계산되는지 알 수 있었습니다.

답: 20

Q7. What is the public key associated with this mining activity?

• 암호화 채굴 활동은 보통 특정 채굴 서비스와 연결됩니다.
• JavaScript 파일에서는 var miner = new CryptoLoot.Anonymous('YOUR_PUBLIC_KEY_HERE'); 같은 패턴으로 발견될 수 있습니다.
• 여기서 'YOUR_PUBLIC_KEY_HERE'가 채굴 활동과 연관된 공개키 입니다. 그래서 해당 문제의 공개키는 b23efb4650150d5bc5b2de6f05267272cada06d985a0 입니다.

답: b23efb4650150d5bc5b2de6f05267272cada06d985a0

Q8. What is the URL of the official Twitter page of the javascript web miner?

• 이 문제는 Crypto-Loot의 공식 트위터 페이지 URL을 찾는 문제로 해당 이름으로 공식 트위터를 검색했습니다.

답: twitter.com/CryptoLootMiner

1. 외부통신 관련 코드

• 외부와 통신할 때, Win32 Internet API 및 Win32 Socket API를 사용
• 그 과정에서 데이터를 주고받는 동작을 수행
  • UDP 통신: 단방향 통신
  • TCP 통신: 양방향 통신

1.1 동작 확인

• Sample 07.exe는 Internet API를 사용해서 procexp.exe를 다운로드하고 실행.
• procexp.exe는 MS에서 제공하는 프로세스 모니터링 Tool
• TCPView.exe(sysinternals에서 제공하는 네트워크 모니터링 Tool)를 사용하면 Sample 07.exe가 "live.sysinternals.com"으로 접속하는 것을 볼 수 있다.
• 그 결과 "%temp%" 경로에 procexp.exe가 다운로드되고 다운로드 완료된 procexp.exe를 실행하고 나면 Sample 07.exe의 동작이 끝난다.

1.2 코드 학습

• procexp.exe를 다운로드 한다고 했을 때, 받은 데이터를 저장할 공간이 있어야 한다.
• "%temp%" 경로에 procexp.exe라는 이름으로 파일을 미리 생성한다.

• InternetOpen() API를 사용해서 WinINet 함수를 초기화한다.(Internet API를 위한 준비 작업)

• InternetOpenUrl() API를 쓰면 URL에 지정된 리소스를 열 수 있다.
• 두 번째 인자 값 'IpUrlPath'에는 URL("http://live.sysinternals.com/procexp.exe")가 들어간다.

• InternetReadFile() API를 사용하면 서버에서 데이터를 읽어올 수 있다.
• InternetReadFile()의 세 번째 인자에는 크기 값이 들어가므로 먼저 크기를 물어봐야 한다.
• 크기를 물어보기 위해서는 InternetQueryDataAvailable() API를 사용한다. 그 결과 서버에서 받을 수 있는 데이터의 크기가 'dwSize'로 들어가게 된다.
• 데이터를 받고 나면 "%temp%" 경로에 있는 procexp.exe에 채워 넣고 이 작업은 procexp.exe 다운로드가 완료될 때까지 반복된다.
• 다운로드 여부는 'dwRead'값으로 확인할 수 있고 'dwRead'에는 읽은 데이터를 받을 변수의 포인터가 들어갑니다.
• 만약 다운로드가 끝나거나 Error 가 발생할 경우 0이 들어가고, 이때 다운로드 동작이 종료된다.

• 다운로드가 끝나면 핸들은 반환이 되고 마지막으로 procexp.exe를 실행하고 Sample 07.exe는 종료된다.

1.3 파일 분석

• Sample 07.exe는 "%temp%" 경로를 알아낸 뒤에 procexp.exe 파일을 만든다.

• 데이터를 수신받기 위해서는 InternetOpenUrlA() 호출해서 "https://live.sysinternals.com/procexp.exe"로 연결을 시도한다.
• 연결 수립 여부는 InternetOpenUrlA() 리턴 값으로 확인할 수 있다.
• InternetQueryDataAvailable() API를 사용하면 한 번에 얼마만큼의 데이터를 받을 수 있는지 알 수 있다.

• 그리고 그만큼 데이터를 받아서 파일에 담으면 된다. InternetReadFile() API를 호출하면 'IpBuffer'가 가리키는 주소에 파일 데이터가 들어온다.
• 'DWORD PTR SS:[ESP+10]'은 'dwRead'값을 가리킨다. 이 값이 0이 아니면 데이터 수신 동작이 계속 반복되고 'dwRead'값이 0이 될 때, 다운로드 동작이 끝나고 핸들 값을 반환한다.

• 다운로드한 procexp.exe를 실행시키면 Sample 07.exe 동작은 마무리된다.

2. Window 제어 코드 학습 및 분석

• Windows 운영체제는 다중 실행 환경을 제공하는 데 이러한 환경 속에 윈도우들 간에 동기화나 데이터 교환을 하기 위해서는 서로를 알아내는 방법이 필요하다.

2.1 다른 프로그램의 윈도우 제어

• FindWindow() API는 클래스 이름과 Caption 이름을 사용해서 원하는 윈도우의 핸들 값을 얻을 수 있다.
• 윈도우를 찾지 못했을 때, NULL 값을 반환한다.

• 첫 번째 인자인 lpClassName은 클래스명, 두 번째 인자인 lpszWindowName은 윈도우 캡션명을 의미한다.
• 둘 다 옵션이기 때문에 필요에 따라 넣거나 NULL 값을 줄 수 있다.(검색의 정확도를 높이기 위해서 값을 모두 넣어줘도 된다.)

• FindWindow()는 최상위 윈도우를 찾을 때 사용하는 API로 어떤 윈도우에 종속된 윈도우를 찾고자 할 때는 FindWindowEx()를 사용해야 한다.
• FindWindowEX() API는 FindWindow()의 기능을 모두 포함하고 추가적인 기능을 제공한다.
• 첫 번째 인자인 hwndParent는 자신이 찾는 윈도우의 최상위 윈도우 핸들이다. 여기에 NULL 값을 주면 FindWindow()와 동일하게 동작.
• 두 번째 인자인 hwndChildAfter는 동일한 level의 윈도우들 중에서 검색 시점을 결정하는 요소이다. 보통 NULL 값을 사용한다.

*P13~20

FindWindow()를 사용해서 notepad.exe에 문자열 출력시키는 연습은 다음에 이어서....

2.2 동작 확인

:Sample 08.exe는 InternetExplorer.exe를 실행하고 특정 웹 페이지에 접속하도록 만든다.

1. InternetExploer를 실행한다.
2. 주소 입력창을 찾고 핸들을 획득한다.
3. 주소 입력창에 "www.naver.com" 문자열을 입력하고 ENTER 메시지를 전송한다.

2.3 코드 학습

•  FindWindow() API를 사용해서 코드를 작성할 때는 "어떤 윈도우에 무슨 메시지를 던질 것인가?"가 가장 중요.
  • 내가 찾은 윈도우가 메시지 전달 대상이 아닌 경우
  • 잘못된 메시지를 전달해서 제대로 동작하지 않는 경우
  • 많은 확인 과정 필요
• Spy++의 Find기능을 사용해서 주소가 입력되는 윈도우를 확인
• 타깃으로 삼은 윈도우 InternetExplorer.exe의 주소 입력창에 URL 입력하고 Enter 키를 전달하면 원하는 주소로 접속

• 실제 타깃 윈도우와 일치하지 않음

• InternetExplorer.exe는 Windows에서 기본으로 설치되는 소프트웨어이기 때문에 설치 경로가 정해져 있다. 이 점을 이용해서 InternetExplorer.exe 경로를 만들고 실행한다.

• FindWindow()와 FindWindowEx() API를 사용해서 InternetExplorer.exe의 Edit 윈도우 핸들을 얻으면 된다.

• Edit 윈도우에 URL을 입력하고 Enter 이벤트가 발생하도록 가상키 코드를 전달하면 된다.

2.4 파일 분석

• Sample 08.exe 파일을 분석하기 위해 ExpandEnvironmentStrings() API를 사용
  • ExpandEnvironmentString() API는 특정 환경 변수에 대한 경로 값을 얻을 수 있다.
  • 이를 이용해 "%ProgramFiles%" 경로를 알아낼 수 있다.

• "\Internet Explorer\iexplore.exe" 문자열을 더하고 WinExec() API를 호출해서 Internet Explorer.exe를 실행한다.

• 문자열을 합치는 과정에서 어셈블리 코드들의 역할

• InternetExplore.exe가 완전히 실행될 때까지 일정시간을 대기한 다음, FindWindow()와 FindWindowEx() API를 사용해서 타깃 윈도우를 찾는다.
• IEFrame부터 차례로 자식 윈도우를 찾아가다 보면 Edit 윈도우의 핸들 값을 얻을 수 있다.
• Edit 윈도우에 URL 정보를 입력하도록 설정한다. SendMessage()를 사용하면 윈도우에 메시지를 전달할 수 있다.

• WM_KEYDOWN 메시지를 전달해서 엔터키를 누르는 것과 같은 효과가 발생하도록 한다.
• 그 결과 특정 웹 페이지로 접속하게 된다. 세 번째 인자로 들어가는 0x0D는 가상키 값으로 VK_RETURN을 의미한다.

3. TEB & PEB

• Windows에서 API를 호출하는 방식은 직접 호출과 간접 호출로 나눌 수 있다.
• 호출 주소 정보를 IAT에 기록해놓고 참조하는지, 아니면 직접 알아내는지의 차이가 있다고 보면 된다.(지금까지는 모두 API 간접 호출 사용)

• 여기서 'CALL DWORD PTR DS:[0x00405000]'은 0x00405000 주소에 있는 4바이트를 호출한다는 의미
• 0x00405000 주소는 Import Address Table이고 WinExec() API 주소가 기록되어 있다. 그 결과 WinExec() API를 호출한다.

• 직접 호출은 WinExec()는 Kernel32.dll에서 Export 하는 API다.
• 호출 주소는 당연히 Kernel32.dll의 Export Table에 기록되어 있다. Export Table의 위치 정보는 PE Header에 있다.

1. Kernel32.dll에 로드되어 있는 주소를 알아낸다.(= ImageBase)
2. ImageBase를 기준으로 +0x0000008D 주소에는 EXPORT Table의 RVA가 기록되어 있다.
3. EXPORT Table로 이동해서 WinExec() API의 호출 주소를 얻는다.
4. WinExec() API를 호출한다.

** 다음에 더 이어서....

1. 시스템 설정 변경 악성파일 분석

1.1 소개

• challenge 02.exe는 감염 PC의 시스템 설정을 변경하고 키 설정을 조작하는 등의 악성행위를 한다.
• 그 과정에서 파일 및 레지스트리 관련 코드를 많이 사용한다.

1.2 Challenge 02.exe 분석

1.2.1 기본 동작

• Stub 코드가 기본적으로 가지는 GetStartupInfo(), GetCommandLine() 등의 코드는 0x0041D313 지점의 호출 주소 내부에 있다.
• 파일이 악성 행위를 하기 위해서는 "%WINDIR%\drivers" 경로에 위치해 있어야 하는데 오른쪽 코드는 실행 경로가 "%WINDIR%\drivers" 인지 확인하는 코드이다.
  • 실행 경로가 일치하면 조건 점프 코드로 인해 0x0041D75C 지점으로 이동해서 악성 동작을 한다.
  • 실행 경로가 일치하지 않으면 "%WINDIR%\drivers" 경로에 servise.exe라는 이름으로 복제 파일을 생성 및 실행하고 악성행위가 발생한다.

1.2.2 동작 중인 프로세스 확인

• servise.exe 프로세스 동작이 확인되면 이미 악성파일이 동작하고 있다고 판단.
• 일반적으로 실행 중인 프로세스의 정보를 얻을 때, CreateToolhelp32Snapshot(), Process32First(), Process32Next() API를 사용하고 CreateToohelp32Snapshot() API를 사용하면 동작 중인 프로세스들의 스냅샷을 찍을 수 있다.
• 그리고 스냅샷으로 프로세스를 하나씩 검색하면서 servise.exe를 찾으면 된다.
  • 이때 Process32First(), Process32Next() API를 사용하는데 각 API의 첫 번째 인자는 CreateToolhelp32Snapshot() API 호출로 얻은 핸들, 두 번째 인자는 PROCESSENTRY32 구조체 변수이다.
  • 이 값을 활용해서 servise.exe가 동작하고 있는지 확인한다.

• szExeFile[MAX_PATH] 멤버는 검색된 프로세스의 이름을 지칭하며 Process32First()나 Process32Next() API를 호출하면 PROCESSENTRY32 구조체 변수의 szExeFile[MAX_PATH] 멤버에 검색된 프로세스의 이름 문자열이 입력된다.

• siExeFile[MAX_PATH]에 입력 되는 프로세스 이름과 "servise.exe" 문자열과 비교해서 servise.exe가 동작하고 있는지 확인하고 동작이 확인되면 BL 레지스터에 1의 값을 입력한다.
• 모든 프로세스 검색이 끝나면 BL 값을 확인해서 servise.exe의 생성 및 실행을 결정한다.

1.2.3 servise.exe 생성 및 실행

• servise.exe는 Challenge 02.exe의 복제본
• 코드가 동작하면 "%WINDIR%\drivers" 경로에 service.exe가 만들어진다.

• Challenge 02.exe는 SetFileAttributesA() API를 사용해서 servise.exe를 숨김 파일로 변경한다.

• 자동 실행 레지스트리 등록 코드로 인해 servise.exe가 자동 실행 등록되고 감염 PC가 부팅될 때마다 servise.exe가 동작한다.
• 이 모든 과정이 완료되면 Challenge 02.exe는 ShellExecuteA() API를 사용해서 servise.exe를 실행한다.

1.3 servise.exe 분석

1.3.1 Thread Code 실행

• servise.exe는 CreateThread() API를 사용해서 0x00404A88 지점의 스레드 코드를 호출한다.
• 플래그 값인 CREATE_SUSPENDED로 인해 실제 호출은 ResumeThread()에서 이루어진다.
• 주요 악성행위는 모두 스레드 안에서 이루어지기 때문에 스레드 코드가 어떻게 동작하는지 파악하는 것이 중요.

1.3.2 Virtual Key 설정 변경

• 스레드를 호출하고 나면 특정 키의 설정을 변경해서 눌렀을 때 소리가 나게 한다.
• GetAsyncKeyState()를 사용하면 키의 상태를 확인할 수 있다.
• 사용자가 특정 키를 누르면 PlaySoundA()가 호출되고 사운드가 발생한다. 다음은 VK_RETURN 키의 소리 설정을 보여준다.
• JUMP 코드로 인해 실시간으로 실행된다.

1.3.3. Thread Code

1. logo.scr 파일 생성 및 화면 보호 설정 변경

• servise.exe는 화면 보호 모드에서도 악생행위를 발생시키기 위해, '화면 보호 모드용'으로 logo.scr을 만든다.
• logo.scr 파일은 servise.exe의 복제 파일로 "%WINDIR%"에 생성된다.

• logo.scr 파일이 동작하기 위해서는 화면 보호 모드가 활성화되어야 하고 SystemParametersInfoA() API를 사용하면 보호 모드 및 활성 시간 설정을 할 수 있다.

• 마지막으로 화면 보호 모드에서 실행되는 파일을 logo.scr로 지정하면 설정 변경이 완료되는데 이때 "HKEY_CURRENT_USER\Control Panel\Desktop" 키의 SCANSAVE.EXE 값을 수정하면 된다.

2. XXX.scr 파일 생성

• logo.scr 파일을 만들고 나면 "C:\WINDOWS\system32\drivers\Cache" 경로에 XXX.scr 파일을 만든다.
• 이 파일도 servise.exe의 복제본이다.

3. servise.exe 파일 외부 침입 보호

• servise.exe는 LockFileEx() API를 사용해서 다른 스레드나 프로세스가 자신에게 접근하는 것을 막는다.

4. 분석 Tool 강제 종료

• 악성파일을 분석할 때 사용하는 Tool에 대한 무력화 기능도 있다.

• procexp.exe를 찾아서 강제 종료시키는 코드로 문자열을 비교해서 타깃 프로세스를 찾고, TerminateProcess() API를 사용해서 강제 종료시킨다.
• TerminateProcess() API의 인자로 들어가는 핸들 값은 OpenProcess() API를 호출해서 얻을 수 있다.
• OpenProcess()를 호출할 때 필요한 PID 값은 PROCESSENTRY32 구조체의 th32ProcessID 멤버를 활용한다.

5. 특정 윈도우 강제 종료

• FindWindow() API로 타깃 프로세스의 동작을 확인하고 핸들 값과 PID를 알아낸 뒤에 TerminateProcess()를 호출한다.

6. 시스템 설정 변경

• 레지스트리의 특정 값을 수정해서 시스템 설정을 바꾼다.
• 자기 보호 및 분석을 어렵게 하기 위한 동작이다.
• 다음은 "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" 키의 Hidden 값을 수정하는 과정이다.

• 이 외에도 다양한 값들이 변경된다.
• 다음은 보호된 운영체제 파일 숨기기 설정을 해제하는 과정이다.

• 다음은 파일 확장자 보이기에 대한 설정을 해제하는 과정이다.

• 다음은 윈도우 탐색기의 도구에서 폴더 옵션 항목을 비활성화하는 과정이다.

• '1.3.3 Thread Code' 동작은 JUMP 코드로 인해 계속 반복된다. 
• 그 결과 분석 Tool 무력화 및 시스템 설정 변경 등의 동작이 실시간으로 이루어진다.

1. 언어 선택 및 코드 작성 방식

• Win32 API로 코드를 작성하고 분석.
• 작성할 코드는 모두 main() 함수에 있다.

2. 파일 검색, 관리 코드

2.1 동작 확인

1. 동일 경로에 Sample 01.exe가 있는지 확인
2. Sample 01.exe 파일 데이터를 획득
3. Sample 01.exe 파일을 삭제
4. "%TEMP%" 경로게 Replicated Sample 01.exe라는 이름으로 새로운 파일을 생성
5. Replicated Sample 01.exe에 Sample 01.exe 파일 데이터를 기록
6. Replicated Sample 01.exe를 실행

2.2 코드학습

1. 파일 복제 코드 기본 구성

• 파일 데이터를 읽거나 쓰기 위해서는 파일을 열어야 하는 데 이때 필요한 API는 CreateFile()
• CreateFile()은 파일을 새로 만들거나 기존 파일을 열 수 있다.

• 첫 번째 인자는 생성 또는 열고자 하는 파일의 경로 값
  • Sample05.exe는 현재 경로에 위치한 Sample01.exe를 복제해야 하기 때문에 %guswo rudfh%\Sample01.exe가 들어가야 한다.
  • 현재 경로는 Sample05.exe의 위치에 따라 달라지며 CreateFile() API를 호출하기 이전에 현재 경로를 알아낼 필요가 있다.
  • GetCurrentDirectory() API를 사용하면 현재 경로 값을 얻을 수 있고 여기에 \Sample01.exe 문자열을 더해주면 절대 경로가 완성된다.
• 두 번째 인자(Generic_Read)는 해당 파일을 어떤 용도로 쓸 것인지에 대한 권한 정보
• 다섯 번째 인자(OPEN_EXISTING)은 동일한 경로에 Sample01.exe가 있을 경우에 열겠다는 의미
  • 파일이 없으면 호출이 실패로 끝난다.

• 파일을 열었으니 데이터를 가져와야 하는데 ReadFile() API를 사용하면 된다.

• 첫 번째 인자는 Sample01.exe의 핸들 값이다.
  • 핸들: exe는 행위가 발생하도록 요청하는 것인데 exe가 어떤 행위를 요청할 때는 목적을 밝히고 관리자에게 허락을 받아야 한다. 여기서 CreateFile() API 호출이 특정 행위에 대한 요청이며 요청 승인에 대한 징표가 핸들이다.
• 두 번째, 세 번째 인자는 '읽어올 데이터를 저장할 위치 주소'와 '읽어올 데이터의 크기'이다.
  • ReadFile() API를 호출하기 전에 읽어 올 데이터의 크기를 구하고 저장 공간을 할당해야 한다.
  • GetFileSize() API를 사용하면 Sample01.exe의 크기를 구할 수 있다.
  • 그리고 malloc() 함수를 사용하면 그 크기만큼 메모리 공간을 할당할 수 있다.
  • 각각에 대한 결과 값을 ReadFile() API의 인자로 넣고 호출하면 'IpBuffer'에 Sample01.exe 파일 데이터가 저장하고 나서 핸들은 반환된다.

• Sample01.exe도 삭제한다.
• 이제 "%TEMP%" 경로에 Replicated Sample 01.exe를 만드로 'IpBuffer'에 저장되어 있는 Sample01.exe 파일 데이터를 써야 한다.
• CreateFile() API를 호출하기 전에 "%TEMP%\Replicated Sample 01.exe" 경로 문자열을 먼저 만들어주고 GetTempPath()와 wsprintf() API를 사용하면 된다.
• CreateFile() API의 두 번째, 다섯 번째 인자에는 'GENERIC_WRITE'와 'CREATE_NEW'를 넣었는 데 이는 'Sample 01.exe 파일 데이터를 쓰기 위해 Replicated Sample 01.exe를 새로 만든다.'는 의미.
• WriteFile() API를 사용하여 읽어 들인 파일 데이터를 복제한 exe파일에 기록.

• 이렇게 하면 파일 복제가 끝났고 Replicated Sample 01.exe를 실행하면 Sample 05.exe의 동작이 완료된다.

2. 파일 검색 기능 추가

: Sample 05.exe가 자체적으로 Sample 01.exe의 존재 여부를 확인하고 파일 복제 동작을 하도록 만드는 것.

• 파일 검색 기능을 사용하면 특정 경로에 있는 파일들을 탐색하고 정보 수집이 가능.
• 파일이나 폴더를 검색할 때 FindFirstFile(), FindNextFile() API를 사용한다.
  • FindFirstFile() API 첫 번째 인자에는 검색하고자 하는 경로 값이 들어가는데 검색 대상이 모든 파일과 폴더이기 때문에 "%현재 경로%\*.*" 문자열을 만들어주면 된다.
  • *은 모든 문자열을 의미하고 검색 대상이 모든 exe 파일이면, *. exe를 넣어주면 된다.

• 검색 경로를 완성하면 파일 검색을 해야 하는데 FindFirstFile() API의 코드에 첫 번째 인자에는 완성된 경로 값을 넣고, 두 번째 인자에는 WIN32_FIND_DATA 구조체 변수를 지정해 넣으면 된다.

• 구조체도 변수와 비슷하게 값을 담을 수 있는 주머니로 변수와 달리 구조가 정해져 있고, 그 안에는 약속된 값이 기록된다.

• FindFirstFile()을 호출하면 처음으로 찾은 파일의 정보가 WIN32_FIND_DATA 구조체 변수인 'FileData'에 기록.
• WIN32_FIND_DATA 구조체의 cFileName 멤버는 검색 파일의 이름 정보이며 이 정보를 가지고 문자열을 비교해서 Sample 01.exe가 맞는지 확인.
• 만약에 아니면 FindNextFile() API를 호출해서 다음 파일을 검색하고 찾으면 파일 복제 코드가 실행되며 이 작업은 현재 경로에 있는 모든 파일, 폴더 검색이 끝날 때까지 반복된다. 

2.3 파일 분석

3. 레지스트리 관리 코드

3.1 레지스트리

:레지스트리는 일종의 데이터베이스로 Windows 시스템 정보와 함께 동작에 필요한 다양한 정보들이 기록.

1. Key

: 레지스트리에서 폴더처럼 사용하는 개념.

폴더에 하위 폴더 및 파일들이 들어갈 수 있는 것처럼 하위 키와 Value를 가질 수 있다.

2. Root Key

: 레지스트리의 최상위 키

3. Value

: 폴더에 속한 파일처럼 Key 안에 존재한다.

4. Data

: Value가 가지고 있는 데이터.

Value의 Type에 따라 문자열 및 이진 값 등을 가질 수 있다.

레지스트리 실습

3.2 동작 확인

3.3 코드 학습

• 레지스트리의 Value를 등록, 조회, 수정하기 위해서는 Key를 열어줘야 한다.
• RegOpenKeyEx() API를 사용하면 되는데 Key에 대한 핸들 값은 다섯 번째 인자인 hKey에 들어간다.

• Key를 열었으면 Value를 등록하면 되는 데 바로 등록을 해줘도 무방하지만 여기서는 'Run_Sample'이라는 이름의 Value가 있을 수도 있다는 가정하에 동일 Value를 검색 및 삭제하는 코드를 추가했습니다.

• RegEnumValue()는 Value를 조회할  때 사용하는 API로 두 번째 인자는 조회하고자 하는 Value의 번호이다.
• 0부터 값을 증가시키면서 Run Key에 존재하는 모든 Value를 검색하도록 작성한 것이다.
• RegEnumValue()를 호출하면 'IpValue'에 검색된 Value의 이름 정보가 들어간다.
  • 이 값과 'Run_Sample' 문자열을 비교하면 동일한 이름의 Value가 존재하는지 확인하고 그 결과에 따라 RegDeleteValue() API를 호출해서 Value를 삭제하도록 작성.

• Sample 01.exe가 자동 실행되도록 Value를 등록하면 되는데 이때 RegSetValueEx() API를 사용하면 된다.
• 다섯 번째 인자는 Data를 의미한다.
• IpSamplePath 변수에는 Sample 01.exe 경로 값이 들어가 있다.
• 여섯 번째 인자는 Data 크기 값이다.
• Value 등록이 끝나면 RegCloseKey()를 호출해서 핸들 값을 반환한다.

• Sample 01.exe의 자동 실행 등록이 완료되었으며 재부팅 경고 메시지를 출력하고 CMD 명령어를 이용해서 운영체제를 재부팅하면 Sample 06.exe의 동작은 완료된다.

3.4 파일 분석

What is Pwnable?

Basic System Hacking ▶ Wanna get /bin/sh(shell)

shell?

:사용자와 커널 간의 인터페이스 역할

• 명령어와 커널이 대화를 할 수 있게 도와주는 일종의 인터페이스
• 명령어 해석기
• 유저가 셸(명령어 해석기)에 명령을 전달하면 셸이 커널한테 부탁하고, 커널이 내부적인 작업을 실행한 후 이 결과를 다시 셸을 통해 유저에게로 전달한다.
• 참고자료

Shell을 탈취했을 때 위험한 이유

• /etc/passwd 파일: 사용자 정보 저장된 파일 (root만 수정 가능)
• /etc/shadow 파일: 사용자 PW 해시값이 저장된 파일
  • $algorithm_id$salt$encrypted_passwd

Architecture & Register

x86-64 Architecture

• ISA: CPU의 명령어에 대한 설계
• n bit Architecutre
  • WORD: CPU가 한 번에 처리할  수 있는 데이터의 크기 (ex: bus 대역폭)

• 32bit 구조(x86), 64bit 구조(x86-64, x64)

x86 vs x64

범용 레지스터

범용 레지스터 사용 예시

• 64bit 환경에서는 레지스터를 함수의 인자로 전달
• read(0, 0x7f2...000, 0x1000) // rdi, rsi, rdx

레지스터 정보 확인하기 및 레지스터 호환

Linux Memory Layout

참고자료

• 코드 세그먼트(텍스트 세그먼트): 코드 저장 (R,X)
• 데이터 세그먼트(data, rodata): 상수, 전역 변수저장 (R, W)
• BSS 세그먼트: 초기화되지 않은 변수 저장 (초기에 다 0으로 초기화됨)
• 힙 세그먼트: malloc 등으로 동적할당한 메모리
• 스택 세그먼트: 지역변수, 레지스터, 환경변수 정보 등 저장

*코드영역 → 스택영역으로 갈수록 주소가 높아진다.

세그먼트 별 권한 확인

Calling Convention

Stack Frame?

• 함수가 호출될 때, 그 함수만의 스택 공간을 구분하기 위해서 생기는 공간

cdecl

• x86 (32bit Architecture)에서 사용하는 함수 호출 규약
• callee가 아닌 caller가 '인자'를 정리

sysv

• x64 (64bit Architecture)에서 사용하는 함수 호출 규약

1. 6개의 인자를 RDI, RSI, RDX, RCX, R8, R9에 순서대로 저장하여 전달. (더 많은 인자를 사용해야 할 때는 스택을 추가로 이용)
2. callee prolog
3. callee epilog
4. Caller에서 인자 전달에 사용된 스택을 정리.
5. 함수의 반환 값은 RAX로 전달

Stack frame의 변화 과정

GDB

ELF

• 리눅스 실행파일 형식 ELF(Executable and Linkable Format)
• ELF는 헤더와 여러 섹션들로 구성
  • 헤더: 실행에 필요한 정보들
  • 섹션: 컴파일된 기계어 코드, 프로그램 문자열 등의 여러 데이터

[문제]

https://www.kaspersky.com/blog/olympic-destroyer/21494/

• 올림픽 담당자가 수신한 일정 업데이트 메일에 첨부된 파일 Olympic_Session_V10을 실행함으로써 악성코드에 감염

• 해당 파일에서 터미널을 열고 운영체제를 알아내기 위해 volatility -f "filename" imageinfo 명령어를 입력.
• 프로세스 리스트 분석을 위해 volatility -f "filename" --profile="운영체제" pslist 입력해서 프로세스 리스트 추출(운영체제 = Win7SP1x86_23418)

• 그다음 pslist.log 파일을 notepad++ 프로그램을 통해 분석해 보니 OlympicDestroy를 포함하여 ocxip.exe, teikv.exe, _xut.exe 등은 일반적인 시스템 프로세스와 일치하지 않는 이름과 행동 패턴을 보이며, OlympicDestroy는 다른 의심스러운 프로세스를 생성하는 부모 프로세스로 보인다고 생각했습니다.
• 또한, OSPPSVC.EXE도 이번 사건이 엑셀을 통한 침입으로 일어진 일이기 때문에 이 프로세스도 의심스럽습니다.

• 그다음 파일을 추출하기 위해 filescan 명령어를 입력했고 위에 의심스러운 파일들의 오프셋을 추출했습니다.

• .\volatility_2.6_win64_standalone.exe -f "Windows 7-1a1299dc.vmem" --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007fc8b888 -D ./ -n 
• 먼저 OlympicDestroy 파일의 오프셋을 추출해서 위의 명령어를 입력해서 파일을 추출했습니다. 

• 추출하자마자 악성코드로 인식되어 보안 프로그램으로 차단이 됐습니다.

• 그다음 ocxip.exe 파일의 오프셋을 추출해 파일을 추출했습니다.

• ocxip.exe 파일 또한 바로 악성파일로 감지되어 차단이 됐습니다.

• 그다음에는 teikv.exe 파일과 _xut.exe도 추출했습니다.

• 둘 다 악성파일임을 파악했습니다.

• 마지막으로, OSPPSVC.EXE파일도 추출해서 분석했더니 의심스러운 파일이었음을 확인했습니다.

[메모리 포렌식] volatility 도구를 이용하여 문제 파일을 분석하는 문제

• 먼저 터미널에서 cridex 폴더로 이동한 뒤 파일의 기본 정보를 알기 위해 다음 명령어를 입력했습니다.
• volatility -f "filename" imageinfo :이 명령어는 이미지가 어떤 운영체제의 메모리 덤프인지 판단합니다.
• 그다음 프로세스 리스트를 분석하기 위해 다음 명령어를 입력했습니다.
• volatility -f "filename" --profile="아까 분석했던 운영체제" pslist (저는 운영체제에 WinXPSP2x86 입력했습니다.)
• pslist 외에도 volatility에는 프로세스 출력 명령어가 pslist, psscan, pstree, psxview로 총 4개가 있습니다.
  
  • pslist는 시간순으로 정렬
  • psscan은 오프셋을 기준으로 보여주고 숨긴 프로세스도 보여준다.
  • pstree는 PID와 PPID를 기반으로 tree형태로 보여준다.
  • psxview는 pslist와 psscan을 동시에 보여주는데 pslist, psscan 값이 똑같이 True가 아니라 False가 있다면 공격자가 의도적으로 숨겼다고 가정할 수 있다.
• 여기서 reader_ls.exe는 pdf관련 프로그램으로 pdf는 해킹에 취약해 악성파일일 가능성이 클 것입니다.

• filescan은 메모리에 존재하는 파일에 대한 정보를 주는 명령어로 reader_sl.exe를 추출하기 위해 다음 명령어를 입력했습니다.
• filescan > filescan.log : filescan 한 것을 log파일 형태로 저장

• 그다음 filescan.log에서 reader_sl.exe에 해당하는 오프셋을 추출해서 다시 위의 명령어를 이용해 파일을 추출했습니다. 파일을 추출하기 위해 다음 명령어를 입력했습니다.
• .\volatility_2.6_win64_standalone.exe -f cridex.vmem --profile=WinXPSP2x86 dumpfiles -Q 0x00000000023ccf90 -D ./ -n 

• 마지막으로 추출한 파일들 중에 하나를 VirusTotal 사이트를 이용해 분석했더니 악성파일임을 확인했습니다.

참고