WU4 - Reminiscent
Calvin Winata, Vincentius Farrel
Pada soal kita diberikan sebuah file .zip yang berisi 3 file didalamnya yaitu file dump memori, imageinfo, file emailnya. Dengan file yang diberi Saya akan analysis memory dump tersebut menggunakan tools yang bernama Volatility.
Jika tidak mendapatkan file imageinfo yang berisi informasi file dumpnya dapat menggunakan command berikut:
Pertama kita menggali informasi memorydump yang akan di analisa
Lalu dengan infomasi yang didapatkan selanjutnya yaitu menganalisa processnya dengan menggunakana command berikut:
Ini hasil scannya:
Terdapat kejangkalan pada bagian powershell.exe, powershell pertama berasal dari exploler.exe tapi powershell kedua berasal dari powershell pertama yang menjadi bukti jika mesin tersebut terinfeksi malware.
Pada kasus disinggung bahwa sumbernya berasal ketika salah satu pegawai menerima resume dari emailnya.
Mungkin file resume.pdf bisa discan dan diextract, lalu didumb di dalam directory dengan menggunakan command berikut:
Pertama discan dengan command:
Kedua extract dan dump dengan command:
Dari hasil strings tersebut terdapat strings base64 mungkin bisa di decode terlebih dahulu.
Setelah didecode masih ada sisa lagi mungkin bisa didecode lagi.
Setelah didecode lagi, flag telah ditemukan
Flag: HTB{$_j0G_y0uR_M3m0rY_$}