Search

[DFIR] 201 - Let_s dig new memories

Year
2020
CTF Name
DIgital Forensics Challenge
Category
DFIR
Type
Memory Analysis

1. Description

Analyze the given memory dump and answer the questions.

2. Write up

2-1. What is the product version and build number of the memory dump? (20 points)

메모리 덤프파일이 어떤 운영체제의 메모리를 덤프한 파일인지 확인하는 문제이다.
조건으로는 Product versionBuild number까지 확인해야 한다. 우선 문제 파일을 보면 mem.7z이 있다. 압축을 해제한 뒤 Volatility3strings 명령을 이용한다.
첫 번째로 메모리 내에 운영체제와 관련된 문자열이 어떤 것이 있는지 아래의 명령을 통해 확인한다.
strings -a mem.raw | grep -Eio '(linux|ubuntu|windows|macos)' | sort | uniq -c | sort -n
※ strings 명령 결과
대소문자 관계없이 linux, ubuntu, windows, macos 에 대한 문자열이 얼마나 존재하는지 확인한 결과 macos와 windows가 가장 많은 것으로 확인된다.
아래의 명령으로 Window 운영체제인지 확인한다.
python3 vol.py -f mem.raw windows.info
결과가 나오지 않으므로 다음은 macOS를 사용하는지 확인이 필요하다.
Volatility3 는 Windows 관련 플러그인은 바로 사용이 가능하나, 다른 OS의 플러그인을 사용하기 위해서는 별도로 symbol 파일 다운로드가 필요하다.
아래의 명령을 통해 선행 작업을 진행하며, 압축해제는 하지 않는다.
cd ~/volatility3/volatility3/plugins/symbols
그 후 Volatility3 의 macOS 관련 플러그인인 mac.lsof를 통해 아래의 명령을 사용한다.
lsof 는 list open files 의 약자로 시스템에서 열린 파일 목록을 알려주고 사용하는 프로세스, 디바이스 정보, 파일의 종류등 상세한 정보를 출력해 준다.
python3 vol.py -f mem.raw mac.lsof
명령의 결과를 보면 macOS Mojave 10.14.4으로 Product version 까지 확인 가능하다.
다음으로 Build number를 확인하기 위해 구글링을 활용한다.
macOS Mojave 10.14.4의 Build number18E226,18E227로 총 2개의 Case가 존재한다.
확실하게 확인하기 위해 해당 메모리 덤프 파일을 HxD에 드래그하여 10.14.4를 검색한다.
바로 뒤에 Build number18E226이라는 값이 확인된다.
정답 : macOS Mojave 10.14.4, 18E226

2-2. What are the PID and PPID values of the process used to acquire the memory dump? (30 points)

메모리 덤프를 획득하기 위해 사용한 프로세스의 PID와 PPID를 찾는 문제이다.
Volatility3 에서 사용하는 프로세스 확인 플러그인인 mac.pstree를 아래와 같이 사용한다.
python3 vol.py -f mem.raw mac.pstree
탐색을 하다 보면 osxpmem이라는 프로세스가 확인 가능하다.
osxpmem 은 volatility framework 내부 모듈로 있던 메모리 이미징 기능을 별도의 프로젝트로 독립한 것으로 Mac 기반의 메모리 이미징을 할 수 있는 오픈소스 도구이다.
정답 : 도구=osxpmem, PID=622, PPID=617

2-3. What is the IP address of the user’s PC? (30 points)

사용자 PC의 IP주소를 구하는 문제이다.
Volatility3의 플러그인인 mac.ifconfig를 아래와 같이 사용한다.
python3 vol.py -f mem.raw mac.ifconfig
정답 : 192.168.21.129

2-4. What are keywords that the user searched on YouTube? (20 points)

사용자가 유튜브에 검색한 키워드가 무엇인지 구하는 문제이다.
유튜브에서 파라미터를 어떻게 전송하는지 먼저 확인해보면 아래와 같이 전송하는 것을 확인할 수 있다.
HxD를 활용해 https://www.youtube.com/results?search_query=를 아래와 같이 검색해본다.
정답 : dance monkey

2-5. What is the location that the user searched on the Mac’s default map application? (40 points)

MacOS의 기본 지도 응용프로그램에서 검색한 위치가 어디인지 찾는 문제이다.
기본적으로 제공하는 지도 응용프로그램을 확인하기 위하여 MacOS를 설치해야하는 제약사항이 존재한다.