Security

다음은 악성코드 Flow의 일부분이다.다른 악성코드를 실행하여 추가 감염을 일으키는 함수의 주소를 찾으시오(함수는 소문자가 아닌 대문자로 인증해주세요)Ex) 00401000  문제 파일로 악성코드 파일의 Flow 맵이 제공된다.   상당히 많은 양의 데이터가 제공되지만, 실제로 하나씩 함수를 따라가며 읽어보면 특이한 부분이 있다.  loc_4025F4 함수에서 ShellExecuteExA 함수를 호출한다. 위의 함수( loc_4025F4 )가 실패할 경우 아래 00402606 주소에 위치한 ShellExecuteExA 가 작동되도록 설정되어 있다. 따라서 아래의 블록이 아닌 위쪽 블록이 악성코드가 추가 감염을 위해 다른 악성 행위를 실행하는 부분이므로, 문제에서 요구하는 flag는 4025F4  이다.

IDA와 같은 도구를 사용하면, 디스어셈블러를 통해 원본 코드와 상당히 유사한 형태의 작동 flow 맵을 보여주는데, 해당 flow 맵을 분석하여 특정 값을 찾아내는 문제이다. 문제 파일을 다운로드 하면, 악성코드로 추정되는 파일의 고급 정적 분석 결과를 보여준다.  복잡해 보이지만, 사실 상당히 쉬운 문제이다. 악성코드는 ' http://noshit.fateback .com/ ' 으로 반복적으로 접속을 시도하고, 일정 시간 대기 후 다시 접속을 시도하는 구조이기 때문에 문제 요지 '접속이 안될 경우' 에 맞추어 악성코드가 해당 도메인으로 접속을 실패할 경우를 가정하는 조건문이 포함된 부분을 찾으면 된다.  악성코드는 해당 도메인에 접속을 실패할 경우, 96000h milliseconds 동안 대기한다...

Docker 파일을 분석하는 문제이다. 문제 파일을 다운로드 받으면, 아래와 같은 내용을 확인할 수 있다.FROM ubuntu:22.04@sha256:27cb6e6ccef575a4698b66f5de06c7ecd61589132d5a91d098f7f3f9285415a9ENV user challENV chall_port 31337RUN apt-get updateRUN apt-get install -y python3RUN adduser $userCOPY ./deploy/flag /home/$user/flagRUN chown -R root:$user /home/$userWORKDIR /home/challRUN touch `python3 -c "print(open('./flag', 'r').read())"`RUN ..

문제 파일을 다운로드 받아 실행하면 아래와 같은 결과가 출력된다. 문제 설명을 보아하니, chall0.exe 파일을 리버싱하여, input값을 비교하는 부분을 찾아야한다. 비교되는 string 배열이 곧 flag 값이니깐.. 파일을 x64Dbg로 실행하여 아래 사진과 같이 string 문자열 찾기 기능을 실행한다.다음을 찾기 -> 모든 모듈 -> 문자열 참조  모든 String이 출력되는데, 이 때 우리가 찾고자 하는 correct를 입력하고 더블클릭하여 해당 주소로 이동하자. 찾아간 주소에서는 사용자가 입력한 값을 받는 input 부분(00007FF66F67112C)과, 사용자가 입력한 값과프로그램에 사전정의된 값을 비교하는 함수를 호출(00007FF66F67114E)하는 부분, 그리고 사용자의 값과 ..

문제 설명  1. MongDB의 ObjectID 구조참고 사이트 : https://docs.mongodb.com/manual/reference/method/ObjectId/  ObjectId() - MongoDB Manual v7.0Docs Home → Develop Applications → MongoDB Manual ObjectId( )mongosh MethodThis page documents a mongosh method. This is not the documentation for a language-specific driver, such as Node.js.For MongoDB API drivers, refer to the language-specific Mongowww.mongodb.com ..

기존의 악성코드 분석 시스템인 Cuckoo Sandbox를 dockerizing 하는데 성공하였다.vbox 환경이 요구되다보니 vbox headless 구성을 docker로 구성해보아야하는 상황에 직면했다.