[2021화햇예선기출] D-1 악성코드 추가 페이로드 IP, 파일 경로

0_0·2023년 9월 6일
0

2021화햇기출

목록 보기
10/14

독학선생님 => https://hackingstudypad.tistory.com/m/580

1. 자동실행 악성코드 분석, 페이로드 탐색

  • 악성코드 파일 분석
    • 자동실행 악성코드 파일을 메모장으로 확인
    • 2021화햇기출
      • .vbs (vbs파일)
        • 텍스트 파일로 작성. Windows 탐색기나 명령 프롬프트로 실행
        • 일반적으로 Windows 시스템 관리, 자동화 및 스크립팅 작업에 사용
        • 파일 조작, 시스템 설정 변경, 네트워크 작업, 사용자 인터페이스 조작 등과 같은 작업을 자동화하는 데 사용
        • 악성 코드로 사용될 수도 있음.
      • .bin (bin파일)
        • 프로그램을 시작하기 위한 실행 파일
      • vbs파일을 메모장으로 확인 -> bin 파일 실행 확인 -> base64 디코딩
  • 결과
    • C-1에서 찾았던 \Miscosoft\Windows\Start Menu\Programs\StartUp\IIsExt.vbs 메모장으로 확인

      -> Dim ww, p, fp는 변수 3가지 선언. fp에 파일 경로 문자열 값으로 할당. Set는 객체 생성 및 초기화.
      -> \AppData\Roaming\Microsoft에 mib.bin생성 확인
      -> mib.bin 메모장으로 확인.
      -> 특수기호가 많지않아서 해시보다는 base64로 의심.
      -> base64 디코딩 -> 파워쉘 코드 -> 에러메시지에 다운로드 아이피와 파일 경로 확인

FLAG

FLAG{자동실행 악성코드 추가 페이로드 다운로드 아이피와 파일 경로}
=> FLAG{34.64.143.34_%Appdata%_Microsoft_Word_Startup_fontmgr.wll}

0개의 댓글