(블로그 이사 : flagmingo->pogn) 2017.09.13 작성된 글
<< 구조 >>
( 공격자 ) --> [[ 웹 서버 ]] -접속-> [[ PMS 서버 ]] 비밀압축파일인 cash.zip 압축암호 규칙 |
공격자는 웹 서버에 침투하여 // 여기까지는 어떻게 들어왔는지 몰라도 된다.
PMS 서버에 저장된 압축암호 규칙을 알아냈다.
"웹 서버에서 어떻게 PMS 서버로 접속했는지 혹은 접속기록"을 찾아내면 된다.??
1. 백도어
2. 원격접속
등이 있을 수 있다.
원격 접속(Remote Desktop Protocol) 을 한 경우, 접속을 시도한 컴퓨터(웹 서버)에 " bitmap_cache" 가 남게된다.
bitmap cache란, 원격접속을 할 시, 사진단위로 접속할 PC의 화면(PMS서버)를 전송해줄때 남는 캐시이다.
// RDP의 BitMap Cache 아티팩트 http://stria.tistory.com/19
그리고 그 디렉토리 안에는 이러한 파일의
git에 해당 bmc파일을 파싱해주는 툴이 있다. // https://github.com/ANSSI-FR/bmc-tools
| C:\Users\JUNGIN\Downloads\bmc-tools-master\bmc-tools-master>python bmc-tools.py -d C:\Users\JUNGIN\Downloads\result -s Cache0000.bin [+++] Processing a single file: 'Cache0000.bin'. [===] Successfully exported 446 files. |
이렇게 위의 툴을 이용하면, 결과가 이렇게 사진으로 떨어진다.
해당 사진을 잘 읽어보면, 웹 서버의 바탕화면에 있는 cache.zip의 비밀번호가
"해방대회!#%" 임을 알 수 있다.
key는 "bimap_cache"이다.
'OLD 2018 ~ 2021 > MAJOR → Forensic' 카테고리의 다른 글
| [CodeBlue2017]_[MISC]_incident_response (0) | 2018.07.26 |
|---|---|
| 180522_Suninatas Forensic(day1) (0) | 2018.05.22 |
| 180122_[Incident Response report]_WebShell_upload_attack (1) | 2018.01.23 |
| 180118_[IR_Report]_Ransomware (0) | 2018.01.18 |
| 180107_[IR_report]_linux_webshell (0) | 2018.01.15 |
댓글