[CyberDefenders] BRabbit Lab

2025. 6. 1. 22:34ยทCTF
๋ชฉ์ฐจ
  1. ๐Ÿ”— ๋ฌธ์ œ ๋งํฌ
  2. ๐Ÿ•ต๏ธ  ์‹œ๋‚˜๋ฆฌ์˜ค
  3. ๐Ÿ“„ ๋ฌธ์ œ ํŒŒ์ผ
  4. ๐Ÿ“ ๋ฌธ์ œ ํ’€์ด
  5. ๋ฌธ์ œ 1.
  6. ๋ฌธ์ œ 2.
  7. ๋ฌธ์ œ 3.
  8. ๋ฌธ์ œ 4.
  9. ๋ฌธ์ œ 5.
  10. ๋ฌธ์ œ 6.
  11. ๋ฌธ์ œ 7.
  12. ๋ฌธ์ œ 8.
  13. ๋ฌธ์ œ 9.
  14. ๋ฌธ์ œ 10.
  15. ๋ฌธ์ œ 11.

 

๐Ÿ”— ๋ฌธ์ œ ๋งํฌ

https://cyberdefenders.org/blueteam-ctf-challenges/brabbit/

 

BRabbit | Blue team challenge.

BRabbit is a blue team lab that falls under the Threat Intel category and will cover the following subjects: Email Header Analyzer, malpedia, ANY.RUN, VirusTotal, MalwareURL, Execution, Persistence, Privilege Escalation, Command and Control, Impact.

cyberdefenders.org

 

 

 

๐Ÿ•ต๏ธ  ์‹œ๋‚˜๋ฆฌ์˜ค

๋‹น์‹ ์€ Drumbo๋ผ๋Š” ํšŒ์‚ฌ๋ฅผ ์ง€์›ํ•˜๋Š” ์กฐ์‚ฌ๊ด€(์กฐ์‚ฌ์›)์ž…๋‹ˆ๋‹ค. Drumbo๋Š” ์ตœ๊ทผ ๋žœ์„ฌ์›จ์–ด ๊ณต๊ฒฉ์„ ๋‹นํ–ˆ์Šต๋‹ˆ๋‹ค.
๊ณต๊ฒฉ์€ ํ•œ ์ง์›์ด ์‚ฌ์žฅ์œผ๋กœ๋ถ€ํ„ฐ ์˜จ ๊ฒƒ์ฒ˜๋Ÿผ ๋ณด์ด๋Š” ์ด๋ฉ”์ผ์„ ๋ฐ›์€ ๊ฒƒ์—์„œ ์‹œ์ž‘๋˜์—ˆ์Šต๋‹ˆ๋‹ค.
์ด ์ด๋ฉ”์ผ์—๋Š” ํšŒ์‚ฌ์˜ ๋กœ๊ณ ์™€ ์ต์ˆ™ํ•œ ์ด๋ฉ”์ผ ์ฃผ์†Œ๊ฐ€ ํฌํ•จ๋˜์–ด ์žˆ์—ˆ์Šต๋‹ˆ๋‹ค.
์ง์›์€ ์ด ์ด๋ฉ”์ผ์ด ์ง„์งœ๋ผ๊ณ  ๋ฏฟ๊ณ  ์ฒจ๋ถ€ํŒŒ์ผ์„ ์—ด์—ˆ๊ณ , ๊ทธ ๊ฒฐ๊ณผ ์‹œ์Šคํ…œ์ด ๊ฐ์—ผ๋˜์—ˆ์Šต๋‹ˆ๋‹ค.
๋žœ์„ฌ์›จ์–ด๊ฐ€ ์„ค์น˜๋˜๋ฉด์„œ ์ค‘์š”ํ•œ ํŒŒ์ผ๋“ค์ด ์•”ํ˜ธํ™”๋˜์—ˆ์Šต๋‹ˆ๋‹ค.

๋‹น์‹ ์˜ ์ž„๋ฌด๋Š” ํ•ด๋‹น ์‚ฌ๊ฑด์˜ ์กฐ์‚ฌ์™€ ๋ถ„์„์„ ํ†ตํ•ด ๊ณต๊ฒฉ์ž์— ๋Œ€ํ•œ ์ •๋ณด๋ฅผ ๋ฐํ˜€๋‚ด๋Š” ๊ฒƒ์ž…๋‹ˆ๋‹ค.
์ฆ‰, ๋žœ์„ฌ์›จ์–ด ๊ณต๊ฒฉ๊ณผ ๊ด€๋ จ๋œ ์ฆ๊ฑฐ(์•„ํ‹ฐํŒฉํŠธ)๋ฅผ ๋ถ„์„ํ•˜์—ฌ, ๊ณต๊ฒฉ์ž๊ฐ€ ๋ˆ„๊ตฌ์ธ์ง€ ํ˜น์€ ์–ด๋–ค ํ”์ ์„ ๋‚จ๊ฒผ๋Š”์ง€๋ฅผ ํŒŒ์•…ํ•˜๋Š” ๊ฒƒ์ด ๋ชฉ์ ์ž…๋‹ˆ๋‹ค.

 

 

๐Ÿ“„ ๋ฌธ์ œ ํŒŒ์ผ

zipํŒŒ์ผ์ด ํ•˜๋‚˜ ์ฃผ์–ด์ง€๋ฉฐ, ํŒŒ์ผ ์•ˆ์—๋Š” ๊ฒฝ๊ณ  ๋ฌธ๊ตฌ๊ฐ€ ๋‹ด๊ธด txt ํŒŒ์ผ ํ•˜๋‚˜์™€ ์‹ค์ œ ์•…์„ฑ ํŒŒ์ผ์ด ํ•จ๊ป˜ ๋“ค์–ด์žˆ๋‹ค.์ œ๊ณต๋œ ์•…์„ฑ ํŒŒ์ผ์€ ์ด๋ฉ”์ผ(.eml) ํŒŒ์ผ์ด๋‹ค.

 

 

 

๐Ÿ“ ๋ฌธ์ œ ํ’€์ด

์•…์„ฑ ํŒŒ์ผ์„ ๊ฐ€์ƒ๋จธ์‹ ์—์„œ ์—ด์–ด ๋ณด์•˜๋‹ค. ๋‹ค์Œ๊ณผ ๊ฐ™์ด ์˜์‹ฌ์Šค๋Ÿฌ์›Œ ๋ณด์ด๋Š” Urgent Contract Action.pdf.exe ๋ช…์˜ ํŒŒ์ผ์ด ์ฒจ๋ถ€๋˜์–ด ์žˆ๋Š” ๊ฒƒ์„ ๋ณผ ์ˆ˜ ์žˆ์—ˆ๋‹ค. ์‹คํ–‰ ํŒŒ์ผ์ž„์„ ์ˆจ๊ธฐ๊ธฐ ์œ„ํ•ด .pdf.exe ๋ผ๊ณ  ๊ฐ€์งœ ํ™•์žฅ๋ช…์„ ๋ถ™์ธ ๊ฒƒ์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ๋‹ค.

๋งŒ์•ฝ ํŒŒ์ผ์„ ๋‹ค์šด๋กœ๋“œํ•˜๊ณ , ํŒŒ์ผ ํƒ์ƒ‰๊ธฐ์—์„œ ์—ด์—ˆ์„ ๋•Œ, ํ™•์žฅ๋ช… ๋ณด๊ธฐ ๊ธฐ๋Šฅ์ด ๋น„ํ™œ์„ฑํ™” ๋˜์–ด์žˆ๋‹ค๋ฉด ํŒŒ์ผ์€ Urgent Contract Action.pdf ๋ผ๊ณ ๋งŒ ๋ณด์ผ ๊ฒƒ์ด๋‹ค.

์ฆ‰๊ฐ์ ์ธ ์กฐ์น˜ ํ•„์š”: ๊ท€ํ•˜์˜ ๊ณ ์šฉ ๊ณ„์•ฝ์„œ
--------------------------------------------------------------------------------------------------------------
Drumboยฎ theceojamessmith@Drumbo.com ๋ฐ›๋Š” ์‚ฌ๋žŒ: Rafaiel@Drumbo.com
์ฒจ๋ถ€ํŒŒ์ผ: Urgent Contract Action.pdf.exe (431.54KB)
--------------------------------------------------------------------------------------------------------------
์ฆ‰๊ฐ์ ์ธ ์กฐ์น˜ ํ•„์š”: ๊ท€ํ•˜์˜ ๊ณ ์šฉ ๊ณ„์•ฝ์„œ

Rafaiel๋‹˜๊ป˜,

์•ˆ๋…•ํ•˜์„ธ์š”. ๋ณธ ๋ฉ”์ผ์ด ์ž˜ ์ „๋‹ฌ๋˜์—ˆ๊ธธ ๋ฐ”๋ž๋‹ˆ๋‹ค. ๊ท€ํ•˜์˜ ๊ณ ์šฉ ๊ณ„์•ฝ์„œ์— ๋Œ€ํ•œ ๊ธด๊ธ‰ ๊ฒ€ํ† ๊ฐ€ ํ•„์š”ํ•˜๋‹ค๋Š” ์ ์„ ์•ˆ๋‚ด๋“œ๋ฆฝ๋‹ˆ๋‹ค. ์—…๋ฌด ์ง„ํ–‰์„ ์œ„ํ•ด ์˜ค๋Š˜ ์•ˆ์œผ๋กœ ์ฒจ๋ถ€๋œ ๋ฌธ์„œ๋ฅผ ๋‹ค์šด๋กœ๋“œํ•˜์—ฌ ๊ฒ€ํ† ํ•ด ์ฃผ์‹œ๊ธฐ ๋ฐ”๋ž๋‹ˆ๋‹ค. ์ œ์‹œ๊ฐ„์— ์ฒ˜๋ฆฌ๋˜์ง€ ์•Š์„ ๊ฒฝ์šฐ, ๊ณ ์šฉ ์ƒํƒœ ์ฒ˜๋ฆฌ์— ์ง€์—ฐ์ด ๋ฐœ์ƒํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

์ด ๋ฌธ์„œ๋Š” ์ตœ์‹  ์ง์› ๊ธฐ๋ก ์œ ์ง€ ๋ฐ ์ปดํ”Œ๋ผ์ด์–ธ์Šค ์ค€์ˆ˜๋ฅผ ์œ„ํ•ด ๋งค์šฐ ์ค‘์š”ํ•ฉ๋‹ˆ๋‹ค. ์ •ํ•ด์ง„ ์‹œ๊ฐ„ ๋‚ด์— ์‘๋‹ตํ•˜์ง€ ์•Š์„ ๊ฒฝ์šฐ, ๊ณ ์šฉ ์ ˆ์ฐจ์— ์ง€์—ฐ ๋˜๋Š” ์ค‘๋‹จ์ด ์ƒ๊ธธ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

๊ท€ํ•˜์˜ ํŽธ์˜๋ฅผ ์œ„ํ•ด ์ƒˆ ๊ณ ์šฉ ๊ณ„์•ฝ์„œ๋ฅผ ์ฒจ๋ถ€ํ•ด ๋“œ๋ ธ์Šต๋‹ˆ๋‹ค. ๊ถ๊ธˆํ•œ ์ ์ด๋‚˜ ๋ฌธ์˜ ์‚ฌํ•ญ์ด ์žˆ์œผ์‹œ๋ฉด ์ธ์‚ฌ(HR) ๋ถ€์„œ๋กœ ์–ธ์ œ๋“  ์—ฐ๋ฝํ•ด ์ฃผ์„ธ์š”. ์ด ์‚ฌ์•ˆ์— ์‹ ์†ํ•˜๊ฒŒ ๋Œ€์‘ํ•ด ์ฃผ์…”์„œ ๊ฐ์‚ฌํ•ฉ๋‹ˆ๋‹ค.

๊ฐ์‚ฌํ•ฉ๋‹ˆ๋‹ค. CEO ๋“œ๋Ÿผ๋ณด(Drumbo Inc.)

 

ํ”ผ์‹ฑ ๋ฉ”์ผ ๋‚ด์šฉ ์—ญ์‹œ ์žฌ์ด‰ํ•˜๋ฉฐ ์‚ฌ์šฉ์ž์—๊ฒŒ ํŒŒ์ผ์„ ์‹คํ–‰์‹œํ‚ฌ ๊ฒƒ์„ ์œ ๋„ํ•˜๊ณ  ์žˆ๋‹ค.

 

 

๋ฌธ์ œ 1.

์•…์„ฑ ์ฒจ๋ถ€ํŒŒ์ผ์„ ์ „๋‹ฌํ•˜๊ธฐ ์œ„ํ•ด ์‚ฌ์šฉ๋œ ํ”ผ์‹ฑ ์ด๋ฉ”์ผ์—๋Š” ์‚ฌํšŒ๊ณตํ•™์  ๊ธฐ๋ฒ•์˜ ์‹œ๋„๋กœ ๋ณผ ์ˆ˜ ์žˆ๋Š” ์—ฌ๋Ÿฌ ๊ฐ€์ง€ ์ง•ํ›„๊ฐ€ ๋‚˜ํƒ€๋‚ฌ์Šต๋‹ˆ๋‹ค. ์ด๋Ÿฌํ•œ ์ง•ํ›„๋ฅผ ์ธ์‹ํ•˜๋Š” ๊ฒƒ์€ ์•ž์œผ๋กœ ์œ ์‚ฌํ•œ ์œ„ํ˜‘์„ ์‹๋ณ„ํ•˜๋Š” ๋ฐ ๋„์›€์ด ๋  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.
์ฒจ๋ถ€ํŒŒ์ผ์„ ๋ณด๋‚ธ ์˜์‹ฌ์Šค๋Ÿฌ์šด ์ด๋ฉ”์ผ ์ฃผ์†Œ๋Š” ๋ฌด์—‡์ž…๋‹ˆ๊นŒ?

 

์œ„ ์ด๋ฉ”์ผ์—์„œ ํ™•์ธํ•  ์ˆ˜ ์žˆ๋“ฏ, ์ด๋ฉ”์ผ์„ ๋ณด๋‚ธ ๊ณต๊ฒฉ ํ–‰์œ„์ž์˜ ์ฃผ์†Œ๋Š” theceojamessmith@Drurnbo.com ์ด๋‹ค.

์ด๋Š” ๋ฐ›๋Š” ์‚ฌ๋žŒ ์ฃผ์†Œ๊ฐ€ Rafaiel@Drumbo.com ์œผ๋กœ ๋ณด์•˜์„ ๋•Œ, ๋ˆˆ์†์ž„์œผ๋กœ ๊ฐ™์€ ํšŒ์‚ฌ ๋‚ด์—์„œ ์˜จ ๋ฉ”์ผ๋กœ ์ฐฉ๊ฐํ•˜๊ฒŒ ๋งŒ๋“ค๊ธฐ ์œ„ํ•œ ์‹œ๋„๋กœ ๋ณผ ์ˆ˜ ์žˆ๋‹ค.

 

๋”ฐ๋ผ์„œ, ์ •๋‹ต์€ theceojamessmith@Drurnbo.com์ด๋‹ค.

 

๋ฌธ์ œ 2.

์ด ๋žœ์„ฌ์›จ์–ด๋Š” ์ด๋ฏธ ์•Œ๋ ค์ง„ ์•…์„ฑ์ฝ”๋“œ ๊ณ„์—ด(family)์— ์†ํ•˜๋Š” ๊ฒƒ์œผ๋กœ ํ™•์ธ๋˜์—ˆ์Šต๋‹ˆ๋‹ค. ๊ณ„์—ด ์ด๋ฆ„์„ ํ™•์ธํ•˜๋ฉด ๋žœ์„ฌ์›จ์–ด์˜ ๋™์ž‘ ๋ฐฉ์‹๊ณผ ๋Œ€์‘ ์ „๋žต์„ ํŒŒ์•…ํ•˜๋Š” ๋ฐ ์ค‘์š”ํ•œ ์ •๋ณด๋ฅผ ์–ป์„ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.
์กฐ์‚ฌ ๊ณผ์ •์—์„œ ํ™•์ธ๋œ ๋žœ์„ฌ์›จ์–ด์˜ ๊ณ„์—ด ์ด๋ฆ„์€ ๋ฌด์—‡์ž…๋‹ˆ๊นŒ?

 

์ด๋ฉ”์ผ์—์„œ ํš๋“ํ•œ ์•…์„ฑ์ฝ”๋“œ ํŒŒ์ผ์„ Virus Total์— ๊ฒ€์ƒ‰ํ•ด๋ณด์•˜๋‹ค.

72๊ฐœ์˜ ๋ฒค๋”์‚ฌ ์ค‘, 67๊ฐœ๊ฐ€ ์•…์„ฑ์œผ๋กœ ์ง„๋‹จํ•˜๊ณ  ์žˆ๋‹ค.

 

Popular threat label๋ช…์ด badrabbit์ธ ๊ฒƒ์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ๋‹ค. ์ด๋Š” ์ฆ‰, ์•…์„ฑ์ฝ”๋“œ์˜ ํŒจ๋ฐ€๋ฆฌ๋ช…์œผ๋กœ ๋ณผ ์ˆ˜ ์žˆ๋‹ค.

๋”ฐ๋ผ์„œ, ์ •๋‹ต์€ Badrabbit์ด๋‹ค.

 

๋ฌธ์ œ 3.

์‹คํ–‰๋˜๋ฉด, ๋žœ์„ฌ์›จ์–ด๋Š” ๊ฐ์—ผ๋œ ์‹œ์Šคํ…œ์— ํŒŒ์ผ์„ ํ•˜๋‚˜ ์ƒ์„ฑํ•˜์—ฌ ํŽ˜์ด๋กœ๋“œ(์•…์„ฑ ํ–‰์œ„)๋ฅผ ์‹œ์ž‘ํ–ˆ์Šต๋‹ˆ๋‹ค. ์ด ํŒŒ์ผ์„ ์‹๋ณ„ํ•˜๋Š” ๊ฒƒ์€ ๊ฐ์—ผ ๊ณผ์ •์„ ์ดํ•ดํ•˜๋Š” ๋ฐ ํ•„์ˆ˜์ ์ž…๋‹ˆ๋‹ค.
๋žœ์„ฌ์›จ์–ด๊ฐ€ ์ฒ˜์Œ์œผ๋กœ ์ƒ์„ฑํ•œ ํŒŒ์ผ์˜ ์ด๋ฆ„์€ ๋ฌด์—‡์ž…๋‹ˆ๊นŒ?

 

Malwarebytes์˜ BadRabbit ๋ถ„์„ ๋ณด๊ณ ์„œ๋ฅผ ์ฐพ์•„๋ณด์•˜๋‹ค. ์œ„ ์ด๋ฉ”์ผ์— ์ฒจ๋ถ€๋œ exe ํŒŒ์ผ์„ ์‹คํ–‰ํ•˜๋ฉด, ์ฃผ์š” ๋ชจ๋“ˆ์„ ๋“œ๋กญํ•˜๋Š”๋ฐ, ํ•ด๋‹น ํŒŒ์ผ๋ช…์ด infpub.dat์ด๋ผ๋Š” ๊ฒƒ์„ ์•Œ ์ˆ˜ ์žˆ์—ˆ๋‹ค.

 

๋”ฐ๋ผ์„œ, ์ •๋‹ต์€ infpub.dat์ด๋‹ค.

 

 

๋ฌธ์ œ 4.

๋“œ๋กญ๋œ ํŒŒ์ผ ๋‚ด๋ถ€์—๋Š” ์•…์„ฑ์ฝ”๋“œ์˜ ๊ธฐ์›์ด๋‚˜ ์„ค์ •์— ๋Œ€ํ•œ ์‹ค๋งˆ๋ฆฌ๋ฅผ ์ œ๊ณตํ•  ์ˆ˜ ์žˆ๋Š” ์‚ฌ์šฉ์ž ์ด๋ฆ„๊ณผ ๋น„๋ฐ€๋ฒˆํ˜ธ ๋“ฑ ํ•˜๋“œ์ฝ”๋”ฉ๋œ ์ •๋ณด(์•„ํ‹ฐํŒฉํŠธ)๊ฐ€ ํฌํ•จ๋˜์–ด ์žˆ์—ˆ์Šต๋‹ˆ๋‹ค.
๋“œ๋กญ๋œ ํŒŒ์ผ์—์„œ ๋ฐœ๊ฒฌ๋œ ์œ ์ผํ•œ ์‚ฌ๋žŒ์˜ ์œ ์ €๋„ค์ž„์€ ๋ฌด์—‡์ž…๋‹ˆ๊นŒ?

 

์ด ๋ฌธ์ œ๋Š” infpub.datํŒŒ์ผ์—์„œ ์‚ฌ๋žŒ์˜ ์œ ์ €๋„ค์ž„์„ ์ฐพ์œผ๋ผ๋Š” ๋ฌธ์ œ๋‹ค. ์ฆ‰, ์‚ฌ๋žŒ์˜ ์ด๋ฆ„์ด๋ผ๋Š” ๊ฒƒ์„ ์ถ”์ธกํ•  ์ˆ˜ ์žˆ๋‹ค.

๋จผ์ €, infpub.dat ํŒŒ์ผ์„ ์ˆ˜์ง‘ํ•ด์•ผ ํ•œ๋‹ค. ๋‚˜๋Š” ์ด๋ฅผ ์œ„ํ•ด x32dbg๋ฅผ ์ด์šฉํ•ด infpub.dat์ด cmd๋กœ ์‹คํ–‰๋˜๋Š” ๋ถ€๋ถ„ ์ฏค์— bp๋ฅผ ๊ฑธ์–ด C:\\windows\\infpub.dat ๊ฒฝ๋กœ์˜ ํŒŒ์ผ์„ ํš๋“ํ•˜์˜€๋‹ค.

 

๋ถ„์„ ๋ณด๊ณ ์„œ์— ๋‚˜์˜จ ํ•ด์‹œ ๊ฐ’๊ณผ ๋น„๊ตํ–ˆ์„ ๋•Œ ๋™์ผํ•œ ๊ฒƒ์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ์—ˆ๋‹ค.

 

๋˜ํ•œ, ์‹œ๊ทธ๋‹ˆ์ฒ˜๊ฐ€ MZ ์ฆ‰. 5a 4d์ธ ๊ฒƒ์„ ํ†ตํ•ด PEํŒŒ์ผ์ž„์„ ์•Œ ์ˆ˜ ์žˆ์—ˆ๋‹ค.

 

infpub.dat ํŒŒ์ผ์„ x32dbg๋กœ ์—ด์–ด๋ณด์•˜๋”๋‹ˆ ๋‹ค์Œ๊ณผ ๊ฐ™์€ ๋ฌธ์ž์—ด๋“ค์„ ๋ณผ ์ˆ˜ ์žˆ์—ˆ๋‹ค. 

์•”ํ˜ธํ™” ํ•  ํŠน์ • ํ™•์žฅ์ž์™€ ๋žœ์„ฌ๋…ธํŠธ๋กœ ์ถ”์ •๋œ๋‹ค.

 

๋ฌธ์ž์—ด ์ฐธ์กฐ์—์„œ๋Š” ๋ณด์ด์ง€ ์•Š์•„์„œ ๋ณ€์ˆ˜๊ฐ€ ์ €์žฅ๋˜๋Š” data ์„น์…˜์—์„œ ๋‹ค์Œ๊ณผ ๊ฐ™์ด ์œ ์ €๋„ค์ž„ ๋ชฉ๋ก์œผ๋กœ ์ถ”์ •๋˜๋Š” ๋ฌธ์ž์—ด๋“ค์„ ๋ฐœ๊ฒฌํ–ˆ๋‹ค.

๊ทธ ์ค‘, ์œ ์ผํ•œ ์‚ฌ๋žŒ ์ด๋ฆ„์ธ alex๊ฐ€ ๋ˆˆ์— ๋„์—ˆ๋‹ค.

 

๋”ฐ๋ผ์„œ, ์ •๋‹ต์€ alex ์ด๋‹ค.

 

๋ฌธ์ œ 5.

์‹คํ–‰ ํ›„, ๋žœ์„ฌ์›จ์–ด๋Š” C2 ์„œ๋ฒ„์™€ ํ†ต์‹ ํ•˜์˜€์Šต๋‹ˆ๋‹ค. ์ด๋Ÿฌํ•œ ํ†ต์‹  ๊ธฐ๋ฒ•์„ ํŒŒ์•…ํ•˜๋Š” ๊ฒƒ์€ ๋Œ€์‘์— ๋„์›€์ด ๋  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.
๋žœ์„ฌ์›จ์–ด๊ฐ€ ๋ฐ์ดํ„ฐ ์†ก์ˆ˜์‹ ์„ ์œ„ํ•ด ์›น ํ”„๋กœํ† ์ฝœ์„ ์‚ฌ์šฉํ•˜๋Š” ํ–‰์œ„๋ฅผ ์„ค๋ช…ํ•˜๋Š” MITRE ATT&CK ํ•˜์œ„ ๊ธฐ๋ฒ•(sub-technique)์€ ๋ฌด์—‡์ž…๋‹ˆ๊นŒ?

 

C2๊ฐ€ Command and Control์ด๋ผ๋Š” ๋œป์ด๋ฏ€๋กœ Command and Control๋ฅผ ํ™•์ธํ•ด์คฌ๋‹ค.

๋˜ํ•œ, ์›น ํ”„๋กœํ† ์ฝœ์„ ์‚ฌ์šฉํ•œ๋‹ค๊ณ  ํ–ˆ๊ธฐ ๋•Œ๋ฌธ์— Application Layer Protocol์˜ ํ•˜์œ„์— ์žˆ๋Š” Web Protocol์˜ ID๋ฅผ ํ™•์ธํ•ด ์ฃผ์—ˆ๋‹ค.

 

๋”ฐ๋ผ์„œ, ์ •๋‹ต์€ T1071.001 ์ด๋‹ค.

 

๋ฌธ์ œ 6.

์ง€์†์„ฑ(Persistence) ๋ฉ”์ปค๋‹ˆ์ฆ˜์€ ์ •๊ตํ•œ ๋žœ์„ฌ์›จ์–ด์˜ ํŠน์ง•์ž…๋‹ˆ๋‹ค.
์ง€์†์„ฑ์ด ์–ด๋–ป๊ฒŒ ๋‹ฌ์„ฑ๋˜์—ˆ๋Š”์ง€ ํŒŒ์•…ํ•˜๋Š” ๊ฒƒ์€ ๋ณต๊ตฌ์™€ ์žฌ๊ฐ์—ผ ๋ฐฉ์ง€์— ๋„์›€์ด ๋  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.
์ด ๋žœ์„ฌ์›จ์–ด์˜ ์ง€์†์„ฑ ๊ธฐ๋ฒ•๊ณผ ๊ด€๋ จ๋œ MITRE ATT&CK ํ•˜์œ„ ๊ธฐ๋ฒ•(Sub-Technique) ID๋Š” ๋ฌด์—‡์ž…๋‹ˆ๊นŒ?

 

์ด ์•…์„ฑ์ฝ”๋“œ๋Š” dispci.exe ๋ผ๋Š” ๋˜ ๋‹ค๋ฅธ ์•…์„ฑ์ฝ”๋“œ๋ฅผ ๋“œ๋กญํ•˜๋Š”๋ฐ, ์ด ์•…์„ฑ ์‹คํ–‰ํŒŒ์ผ์„ ์ž‘์—… ์Šค์ผ€์ค„๋Ÿฌ์— ๋“ฑ๋กํ•˜์—ฌ ๋ถ€ํŒ… ์‹œ๋งˆ๋‹ค ์ž๋™์œผ๋กœ ์‹คํ–‰๋˜๋„๋ก ํ•œ๋‹ค.

์ฐธ๊ณ ๋กœ, dispci.exe๋Š” ๋””์Šคํฌ๋ฅผ ์•”ํ˜ธํ™”ํ•˜๋Š” ์—ญํ• ์„ ํ•œ๋‹ค๊ณ  ํ•œ๋‹ค.

Malwarebytes ๋ณด๊ณ ์„œ ๋‚ด์šฉ

 

๋”ฐ๋ผ์„œ, ์ง€์†์„ฑ์„ ์œ ์ง€ํ•˜๊ธฐ ์œ„ํ•ด ์ž‘์—… ์Šค์ผ€์ค„๋Ÿฌ์— ๋“ฑ๋ก์„ ํ•˜๋Š” ๊ฒƒ์ด๊ณ , ์ด Tatic์˜ ID๋Š” T1053.005์ด๋‹ค.

 

๋ฌธ์ œ 7.

๊ฐ์—ผ ๊ณผ์ •์˜ ์ผํ™˜์œผ๋กœ, ๋žœ์„ฌ์›จ์–ด๋Š” ์ž์‹ ์˜ ์ง€์†์ ์ธ ๋™์ž‘์„ ๋ณด์žฅํ•˜๊ธฐ ์œ„ํ•ด ํŠน์ • ์ž‘์—…๋“ค์„ ์ƒ์„ฑํ–ˆ์Šต๋‹ˆ๋‹ค.
์ด๋Ÿฌํ•œ ์ž‘์—…์„ ํŒŒ์•…ํ•˜๋Š” ๊ฒƒ์€ ์‹œ์Šคํ…œ ๋ณต๊ตฌ์— ๋งค์šฐ ์ค‘์š”ํ•ฉ๋‹ˆ๋‹ค.
๋žœ์„ฌ์›จ์–ด๊ฐ€ ์‹คํ–‰ ์ค‘์— ์ƒ์„ฑํ•œ ์ž‘์—…๋“ค์˜ ์ด๋ฆ„์€ ๋ฌด์—‡์ž…๋‹ˆ๊นŒ?

 

Kaspersky์˜ Securelist ๋ธ”๋กœ๊ทธ๋ฅผ ์ฐธ๊ณ ํ•˜์˜€๋‹ค.

์ด ์•…์„ฑ์ฝ”๋“œ(infpub.dat)์ด dispci.exe๋ฅผ ์Šค์ผ€์ค„์— ๋“ฑ๋กํ•˜๋ฉฐ ์ž‘์—… ์ด๋ฆ„์„ "์™•์ขŒ์˜ ๊ฒŒ์ž„" ์‹œ๋ฆฌ์ฆˆ์˜ ์บ๋ฆญํ„ฐ ์ด๋ฆ„์œผ๋กœ ๋งŒ๋“ค์—ˆ๋‹ค๊ณ  ํ•œ๋‹ค.

 

๋”ฐ๋ผ์„œ, ๋‹ต์€ rhaegal, drogon์ด๋‹ค.

 

๋ฌธ์ œ 8.

์•…์„ฑ ๋ฐ”์ด๋„ˆ๋ฆฌ dispci.exe๋Š” ์‹คํ–‰ ์‹œ ์‚ฌ์šฉ์ž์—๊ฒŒ ๋ฐฉ์–ด ์ˆ˜๋‹จ์„ ๋น„ํ™œ์„ฑํ™”ํ•˜๋ผ๊ณ  ์š”๊ตฌํ•˜๋Š” ์˜์‹ฌ์Šค๋Ÿฌ์šด ๋ฉ”์‹œ์ง€๋ฅผ ํ‘œ์‹œํ–ˆ์Šต๋‹ˆ๋‹ค.
์ด ๋ฐฉ๋ฒ•์€ ํƒ์ง€๋ฅผ ํ”ผํ•˜๊ณ  ๋žœ์„ฌ์›จ์–ด๊ฐ€ ์™„์ „ํžˆ ์‹คํ–‰๋  ์ˆ˜ ์žˆ๋„๋ก ํ•˜๊ธฐ ์œ„ํ•œ ๊ฒƒ์ด์—ˆ์Šต๋‹ˆ๋‹ค.
์ด ๋ฐ”์ด๋„ˆ๋ฆฌ๋ฅผ ์‹คํ–‰ํ–ˆ์„ ๋•Œ ์ฝ˜์†”์— ํ‘œ์‹œ๋œ ์˜์‹ฌ์Šค๋Ÿฌ์šด ๋ฉ”์‹œ์ง€๋Š” ๋ฌด์—‡์ž…๋‹ˆ๊นŒ?

 

Fortinet์˜ BadRabbit ๋žœ์„ฌ์›จ์–ด ๋ถ„์„๊ธ€์„ ํ™•์ธํ•ด๋ณด๋ฉด, ๋žœ์„ฌ๋…ธํŠธ์— ์•ˆํ‹ฐ๋ฐ”์ด๋Ÿฌ์Šค์™€ ์•ˆํ‹ฐ๋ฉ€์›จ์–ด ํ”„๋กœ๊ทธ๋žจ์„ ๋น„ํ™œ์„ฑํ™” ํ•˜๋ผ๋Š” ๊ธ€์„ ๋ณผ ์ˆ˜ ์žˆ๋‹ค.

 

๋”ฐ๋ผ์„œ ์ •๋‹ต์€ Disable your anti-virus and anti-malware programs ์ด๋‹ค.

 

๋ฌธ์ œ 9.

๋งˆ์Šคํ„ฐ ๋ถ€ํŠธ ๋ ˆ์ฝ”๋“œ(MBR)๋ฅผ ์ˆ˜์ •ํ•˜๊ณ  ํ”ผํ•ด์ž์˜ ํ•˜๋“œ ๋“œ๋ผ์ด๋ธŒ๋ฅผ ์•”ํ˜ธํ™”ํ•˜๊ธฐ ์œ„ํ•ด, ๋žœ์„ฌ์›จ์–ด๋Š” ํŠน์ • ๋“œ๋ผ์ด๋ฒ„๋ฅผ ์‚ฌ์šฉํ–ˆ์Šต๋‹ˆ๋‹ค. ์ด ๋“œ๋ผ์ด๋ฒ„๋ฅผ ์‹๋ณ„ํ•˜๋Š” ๊ฒƒ์€ ์•”ํ˜ธํ™” ๋ฉ”์ปค๋‹ˆ์ฆ˜์„ ์ดํ•ดํ•˜๋Š” ๋ฐ ์ค‘์š”ํ•ฉ๋‹ˆ๋‹ค.
ํ•˜๋“œ ๋“œ๋ผ์ด๋ธŒ๋ฅผ ์•”ํ˜ธํ™”ํ•˜๊ณ  MBR์„ ์ˆ˜์ •ํ•˜๋Š” ๋ฐ ์‚ฌ์šฉ๋œ ๋“œ๋ผ์ด๋ฒ„์˜ ์ด๋ฆ„์€ ๋ฌด์—‡์ž…๋‹ˆ๊นŒ?

 

Malwarebytes์˜ ๋ถ„์„๊ธ€์—์„œ ํ•˜๋“œ ๋“œ๋ผ์ด๋ธŒ๋ฅผ ์•”ํ˜ธํ•˜ํ•˜๊ธฐ ์œ„ํ•ด DiskCryptor๋ผ๋Š” ๋“œ๋ผ์ด๋ฒ„๋ฅผ ์ด์šฉํ•œ๋‹ค๊ณ  ํ•œ๋‹ค.

์•…์„ฑ์ฝ”๋“œ ๋‚ด์—์„œ ์ด๋ฆ„์€ cscc.dat์œผ๋กœ ๋“ฑ์žฅํ•œ๋‹ค.

DiskCryptor์€ ์›๋ž˜ ์•…์˜์ ์ธ ์•”ํ˜ธํ™” ํ”„๋กœ๊ทธ๋žจ์ด ์•„๋‹ˆ์ง€๋งŒ, ํ•ด๋‹น ์•…์„ฑ์ฝ”๋“œ์—์„œ ์•…์šฉํ•˜์—ฌ ์‚ฌ์šฉํ•œ๋‹ค๊ณ  ํ•œ๋‹ค.

 

๋ฌธ์ œ 10.

์œ„ํ˜‘ ํ™˜๊ฒฝ์„ ์ดํ•ดํ•˜๋Š” ๋ฐ ์žˆ์–ด ๊ท€์†(Attribution)์€ ํ•ต์‹ฌ์ ์ž…๋‹ˆ๋‹ค.
์ด ๋žœ์„ฌ์›จ์–ด๋Š” ๊ทธ ์ „์ˆ , ๊ธฐ๋ฒ•, ์ ˆ์ฐจ(TTPs)๋ฅผ ํ†ตํ•ด ์•Œ๋ ค์ง„ ๊ณต๊ฒฉ ๊ทธ๋ฃน๊ณผ ์—ฐ๊ด€๋˜์—ˆ์Šต๋‹ˆ๋‹ค.
์ด ๋žœ์„ฌ์›จ์–ด ์บ ํŽ˜์ธ์— ์ฑ…์ž„์ด ์žˆ๋Š” ์œ„ํ˜‘ ํ–‰์œ„์ž์˜ ์ด๋ฆ„์€ ๋ฌด์—‡์ž…๋‹ˆ๊นŒ?

 

์ด ๋žœ์„ฌ์›จ์–ด ์บ ํŽ˜์ธ์„ ์ˆ˜ํ–‰ํ•œ ๊ณต๊ฒฉ ๊ทธ๋ฃน์„ ์ฐพ๊ธฐ ์œ„ํ•ด malpedia์— ๊ฒ€์ƒ‰ํ•ด ๋ณด์•˜๋‹ค.

์ด๋ฅผ ํ†ตํ•ด TeleBots์™€ Sandworm์ด๋ผ๋Š” ๊ทธ๋ฃน์ด ํ•ด๋‹น ๋žœ์„ฌ์›จ์–ด๋ฅผ ์‚ฌ์šฉํ–ˆ๋‹ค๋Š” ๊ฒƒ์„ ์•Œ ์ˆ˜ ์žˆ์—ˆ๋‹ค.

 

๋”ฐ๋ผ์„œ ์ •๋‹ต์€ Sandworm

 

๋ฌธ์ œ 11.

๋žœ์„ฌ์›จ์–ด๋Š” ์ฃผ์š” ์‹œ์Šคํ…œ ๊ตฌ์„ฑ ์š”์†Œ๋ฅผ ์†์ƒ์‹œ์ผœ ์‹œ์Šคํ…œ์ด ๋ถ€ํŒ…๋˜์ง€ ์•Š๋„๋ก ๋งŒ๋“ค์—ˆ์Šต๋‹ˆ๋‹ค.
์ด๋•Œ ์‚ฌ์šฉ๋œ ๊ธฐ๋ฒ•์„ ์‹๋ณ„ํ•˜๋ฉด ํ•ด๋‹น ๋žœ์„ฌ์›จ์–ด์˜ ํŒŒ๊ดด์  ์—ญ๋Ÿ‰์„ ์ดํ•ดํ•˜๋Š” ๋ฐ ๋„์›€์ด ๋ฉ๋‹ˆ๋‹ค.
์‹œ์Šคํ…œ ํŽŒ์›จ์–ด๋ฅผ ์†์ƒ์‹œํ‚ค๊ณ  ๋ถ€ํŒ…์„ ๋ฐฉํ•ดํ•˜๋Š” ๋ฐ ์‚ฌ์šฉ๋œ MITRE ATT&CK ๊ธฐ๋ฒ•์˜ ID๋Š” ๋ฌด์—‡์ž…๋‹ˆ๊นŒ?

 

ํŽŒ์›จ์–ด๋ฅผ ์†์ƒ์‹œํ‚จ๋‹ค๋Š” ๋ถ€๋ถ„์— ์ดˆ์ ์„ ๋งž์ถ”๊ณ  ๋งˆ์ดํ„ฐ์–ดํƒ์—์„œ ํ…Œํฌ๋‹‰์„ ์ฐพ์•„๋ณด์•˜๋‹ค.

๊ทธ ๊ฒฐ๊ณผ, Impact - Firmware Corruption ์ด๋ผ๋Š” ํ…Œํฌ๋‹‰์ด ์กด์žฌํ–ˆ๋‹ค.

 

๋”ฐ๋ผ์„œ, ๋‹ต์€ T1495 ์ด๋‹ค.

 

์ €์ž‘์žํ‘œ์‹œ ๋น„์˜๋ฆฌ (์ƒˆ์ฐฝ์—ด๋ฆผ)

'CTF' ์นดํ…Œ๊ณ ๋ฆฌ์˜ ๋‹ค๋ฅธ ๊ธ€

[Blue team CTF] Yellow RAT Lab  (0) 2025.05.28
[UMassCTF2025] forensic_Mascrotrace  (1) 2025.04.21
[UMassCTF2025] forensic_No Updates  (0) 2025.04.21
picoCTF 2021 | information  (0) 2022.06.22
picoCTF 2021 | Mod 26  (0) 2022.06.22
  1. ๐Ÿ”— ๋ฌธ์ œ ๋งํฌ
  2. ๐Ÿ•ต๏ธ  ์‹œ๋‚˜๋ฆฌ์˜ค
  3. ๐Ÿ“„ ๋ฌธ์ œ ํŒŒ์ผ
  4. ๐Ÿ“ ๋ฌธ์ œ ํ’€์ด
  5. ๋ฌธ์ œ 1.
  6. ๋ฌธ์ œ 2.
  7. ๋ฌธ์ œ 3.
  8. ๋ฌธ์ œ 4.
  9. ๋ฌธ์ œ 5.
  10. ๋ฌธ์ œ 6.
  11. ๋ฌธ์ œ 7.
  12. ๋ฌธ์ œ 8.
  13. ๋ฌธ์ œ 9.
  14. ๋ฌธ์ œ 10.
  15. ๋ฌธ์ œ 11.
'CTF' ์นดํ…Œ๊ณ ๋ฆฌ์˜ ๋‹ค๋ฅธ ๊ธ€
  • [Blue team CTF] Yellow RAT Lab
  • [UMassCTF2025] forensic_Mascrotrace
  • [UMassCTF2025] forensic_No Updates
  • picoCTF 2021 | information
602zzang
602zzang
yks_STUDY602zzang ๋‹˜์˜ ๋ธ”๋กœ๊ทธ์ž…๋‹ˆ๋‹ค.
  • 602zzang
    yks_STUDY
    602zzang
  • ์ „์ฒด
    ์˜ค๋Š˜
    ์–ด์ œ
    • ๋ถ„๋ฅ˜ ์ „์ฒด๋ณด๊ธฐ (77)
      • Programming Language (36)
        • C (15)
        • PYTHON (9)
        • RUST (12)
      • Reverse Engineering (3)
      • OS (17)
        • LINUX (17)
      • ๋ณด์•ˆ ์ด์Šˆ (6)
      • Digital Forensics (1)
      • CTF (8)
      • ๊ธฐํƒ€ (6)
  • ๋ธ”๋กœ๊ทธ ๋ฉ”๋‰ด

    • ํ™ˆ
    • ํƒœ๊ทธ
    • ๋ฐฉ๋ช…๋ก
  • ๋งํฌ

  • ๊ณต์ง€์‚ฌํ•ญ

  • ์ธ๊ธฐ ๊ธ€

  • ํƒœ๊ทธ

    ๋ณด์•ˆ์ด์Šˆ
    ๋ณด์•ˆ๋™ํ–ฅ
    ๋“œ๋ฆผํ•ต
    rustling
    P4C
    rust
    ๊ณต๊ธ‰๋ง
    ๋ฐฑ์ค€
    ์†Œ์ผ“ ํ†ต์‹ 
    c
    bandit
    Rocky Linux
    cyberdefenders
    TeamH4C
    ์ฝ”๋“œ์—…
    ๋นก๊ณตํŒŸ
    python
    picoCTF
    umassctf2025
    ํŒŒ์ด์ฌ
  • ์ตœ๊ทผ ๋Œ“๊ธ€

  • ์ตœ๊ทผ ๊ธ€

  • hELLOยท Designed By์ •์ƒ์šฐ.v4.10.0
602zzang
[CyberDefenders] BRabbit Lab
์ƒ๋‹จ์œผ๋กœ

ํ‹ฐ์Šคํ† ๋ฆฌํˆด๋ฐ”

๋‹จ์ถ•ํ‚ค

๋‚ด ๋ธ”๋กœ๊ทธ

๋‚ด ๋ธ”๋กœ๊ทธ - ๊ด€๋ฆฌ์ž ํ™ˆ ์ „ํ™˜
Q
Q
์ƒˆ ๊ธ€ ์“ฐ๊ธฐ
W
W

๋ธ”๋กœ๊ทธ ๊ฒŒ์‹œ๊ธ€

๊ธ€ ์ˆ˜์ • (๊ถŒํ•œ ์žˆ๋Š” ๊ฒฝ์šฐ)
E
E
๋Œ“๊ธ€ ์˜์—ญ์œผ๋กœ ์ด๋™
C
C

๋ชจ๋“  ์˜์—ญ

์ด ํŽ˜์ด์ง€์˜ URL ๋ณต์‚ฌ
S
S
๋งจ ์œ„๋กœ ์ด๋™
T
T
ํ‹ฐ์Šคํ† ๋ฆฌ ํ™ˆ ์ด๋™
H
H
๋‹จ์ถ•ํ‚ค ์•ˆ๋‚ด
Shift + /
โ‡ง + /

* ๋‹จ์ถ•ํ‚ค๋Š” ํ•œ๊ธ€/์˜๋ฌธ ๋Œ€์†Œ๋ฌธ์ž๋กœ ์ด์šฉ ๊ฐ€๋Šฅํ•˜๋ฉฐ, ํ‹ฐ์Šคํ† ๋ฆฌ ๊ธฐ๋ณธ ๋„๋ฉ”์ธ์—์„œ๋งŒ ๋™์ž‘ํ•ฉ๋‹ˆ๋‹ค.