[DreamHack] palm 문제 풀이_forensic_nabi

1. 덤프된 환경이 아닌 실시간 환경이므로 비휘발성 데이터 수집을 통해 풀이
2. “로그인 할 때 마다 네트워크 데이터에 민감한 로그인 정보가 유출” ⇒ 로그온 관련 아티팩트 수집

crontab, /var/run, /etc/service, /etc/init.d 등의 스케줄링 관련 아티팩트 X

 

로그인 시에 발생하는 네트워크 패킷 분석

tcpdump를 뜨면 특정 경로로 불필요한 패킷이 너무 많이 보였습니다.

 

침해 PC 경로에서 시작하고, 175.117.153.116으로 도착하지 않도록 필터링을 걸어 확인해주었습니다.

 

다른 터미널에서 로그인을 했을 때 발생하는 패킷을 보면, 123.45.67.89의 경로로 사용자의 로그인 비밀번호가 전송되는 것을 확인할 수 있습니다.

 

처음에는 root 내의 모든 폴더를 대상으로 키워드 검색을 했지만 너무 많은 파일들이 검색되어, root 내 각각의 폴더를 대상으로 키워드 검색을 하였습니다.

/lib 하위 경로에서 pam_unix.so 파일을 발견할 수 있었습니다.

pam 파일

• PAM은 시스템 리소스에 대한 사용자 인증 및 권한 부여를 처리하는 유닉스 계열 운영 체제의 인증 메커니즘을 모듈화하는 라이브러리입니다. pam_unix.so 모듈은 사용자의 비밀번호 검사 및 인증 작업을 담당합니다. 주로 /etc/pam.d/ 디렉토리에 위치하며, 로컬 시스템 로그인 및 패스워드 변경과 같은 작업에 사용됩니다.

다른 경로에서 발견된 4개의 바이너리 파일도 확인하였지만 특별한 특징은 없었습니다.

 

.so 확장자 파일은 동적으로 링크되는 공유 라이브러리 파일입니다. .ELF 매직넘버가 실행 파일 이외에도 개체 코드, 라이브러리 파일에도 사용됩니다.

 

IP 주소 근처에 base 64로 인코딩된 것을 추정되는 문자열을 확인할 수 있었습니다.

 

 

IDA로 찾기