1. 자동실행 악성코드 분석, 페이로드 탐색
- 악성코드 파일 분석
- 자동실행 악성코드 파일을 메모장으로 확인
- 2021화햇기출
- .vbs (vbs파일)
- 텍스트 파일로 작성. Windows 탐색기나 명령 프롬프트로 실행
- 일반적으로 Windows 시스템 관리, 자동화 및 스크립팅 작업에 사용
- 파일 조작, 시스템 설정 변경, 네트워크 작업, 사용자 인터페이스 조작 등과 같은 작업을 자동화하는 데 사용
- 악성 코드로 사용될 수도 있음.
- .bin (bin파일)
- 프로그램을 시작하기 위한 실행 파일
- vbs파일을 메모장으로 확인 -> bin 파일 실행 확인 -> base64 디코딩
- .vbs (vbs파일)
- 결과
- C-1에서 찾았던 \Miscosoft\Windows\Start Menu\Programs\StartUp\IIsExt.vbs 메모장으로 확인
-> Dim ww, p, fp는 변수 3가지 선언. fp에 파일 경로 문자열 값으로 할당. Set는 객체 생성 및 초기화.
-> \AppData\Roaming\Microsoft에 mib.bin생성 확인
-> mib.bin 메모장으로 확인.
-> 특수기호가 많지않아서 해시보다는 base64로 의심.
-> base64 디코딩 -> 파워쉘 코드 -> 에러메시지에 다운로드 아이피와 파일 경로 확인
- C-1에서 찾았던 \Miscosoft\Windows\Start Menu\Programs\StartUp\IIsExt.vbs 메모장으로 확인
FLAG
FLAG{자동실행 악성코드 추가 페이로드 다운로드 아이피와 파일 경로}
=> FLAG{34.64.143.34_%Appdata%_Microsoft_Word_Startup_fontmgr.wll}
