HDCON 2015 C&C 분석

HDCON에서 백도어인 pam_unix.so만 찾으면 그 후에있는 문제 두개는 그냥 풀게된다.

300점에서 salte__엿나 이후에 디코딩이 안되어 포기했지만..

우선 바이너리는 /etc/skelecton을 분석한다.

sub_401014를 분석하면, 우선 /tmp에 숨김속성으로 mysql(숫자)를 생성한다.

우선 c&c 서버의 아이피 주소를 알아내라고하는데, sub_401014에서의 아래함수들을 들어가게되면 http://아이피/logger.php가 보이게된다.

( 아래 함수들을 직접 들어갈 생각을못하고 우분투에서 브레이크포인트를 걸고 디버깅해 rsp를 확인하고 알아냈다..) - base64 인코딩값도 똑같이 얻어냈다.

모두 보이게된다.

처음에 함수에 접근할때는 아래 base64와 logger.php는 절대 보이지않는다.

gdb를 통해 디버깅을 하면보이게된다

b *0x401014

ni

ni

...

x/100s $rsp 

이와같이하면 어떠한 함수를통해 위와같은 인코딩값과 아이피를 보여준다.

아이피는 그냥 리눅스에서 실행시키고 tcpdump로 패킷을 캡쳐해보면 그냥나오니까 딱히 디버깅까지 할필요는없다.

근데 우리의 문제점은 300점짜리인, 인코딩값을 디코딩 못했다는것...

U2FsdGVkX18rxOpW5IDMvgRo3SOfHkKMK+k0o6OueIC23CUz+SOCVw==

이러한 값이 나오게되는데 돌려보면 이상한값이나온다.

Salted__.. 이후에 이상한 깨진값이 나오게되는데 그 깨진값을 복호화하면 어떤 문자열이 나올것만같았다..

하지만 멘탈이 터진후로 더이상 풀지못하고 자버렸다..

ㅠㅠ

준우와 영호가 트랙2와 트랙3를 맡았고 나랑 용진이가 트랙1을 맡아 풀었다.

트랙1 거의 마지막에 리버싱과관련된 문제가나와서 설레긴했지만 저 인코딩값을 어떻게 해야할지에서 매우 부들부들했고, 저 logger.php는 한번 접속됬다가 갑자기 접속이안되서 조금 당황했다.