What is the MD5 hash of the executable uploaded?
업로드된 실행 파일의 MD5 해시는 무엇입니까?
3791.exe의 해시값을 찾는 문제다.
"3791.exe" ("md5" or "hash" or "sha" or "CRC32")
JSON
복사
키워드로 나오지 않으면 전체 검색을 통해 필드를 확인한다
"3791.exe"
JSON
복사
해시 값 관련 필드가 4개인데 내용을 보면 제각각이다.
MD5은 32자이므로 다음 쿼리문을 통해 나타나는 결과를 제한한다.
"3791.exe" | where len(Hashes)=32 or len(IMPHASH)=32 or len(file_hash)=32 or len(Hashes)=32
JSON
복사
아예 MD5 필드가 있었다.
하나씩 살펴보면 다음 프로세스에 의해 실행되는 걸 알 수 있다.
C:\Windows\SysWOW64\cmd.exe → cmd.exe /c "3791.exe 2>&1" → C:\\Windows\\System32\\conhost.exe
65개의 결과 중에서 살펴보다보면 로딩된 내용의 해시가 출력되는 걸 알 수 있다.
즉 ImageLoaded 필드 값이 3791.exe를 포함해야 한다.
"3791.exe" | where isnotnull(MD5) | search ImageLoaded="C:\\inetpub\\wwwroot\\joomla\\3791.exe"
JSON
복사
