보안맨

[B-3] 문제에서 password 파일을 생성하는 악성 코드를 분석하여 플래그를 획득하라 플래그 형식은 FLAG{...} 2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/697) 정신을 어디 뒀었는지 이번 문제화면도 캡쳐를 못했다.. B-4 문제는 B-3 문제에서 password 파일을 생성하는 악성 코드를 분석해서 플래그를 획득하는 것이 목표이다. B-3 에서 찾은 파워쉘 코드이다. 이걸 보고 mimikatz.exe 가 password 파일을 생성하는거라고 생각해서 분석을 해봤는데 별다른 소득이 없었다. 그래서 다시 바탕화면에 있는 Log 폴더의 a-1.pcapng 파일을 분석해봤는데 목적지 주..

공격자는 Windows 자격 증명에 액세스 할 수 있다. 이를 이용하여 공격자가 password 파일을 최초로 생성한 시각은 언제인가? 플래그 형식은 FLAG{YYYYMMDD_HHmmss} 2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/695) 이번 문제는 문제화면을 캡쳐를 못했다.. B-3 문제는 공격자가 Windows 자격 증명에 엑세스 하기 위해 password 파일을 생성한 시각을 찾는것이 목표이다. 주어진 Windows 이미지의 바탕화면에 있는 Log 폴더의 a-1.pcapng 파일을 분석해보면 /admin/login 페이지에 접속한 흔적을 찾을 수 있다. 해당 패킷에서 우클릭 - Fol..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/693) B-2 문제는 DLL 형태로 정상 프로세스에 기생하는 악성코드가 네트워크 정보를 수집하기 위해 powershell 코드를 최초 실행한 시각과 powershell의 PID를 특정하는것이 목표이다. 이번문제는 다시한면 sysmon 로그를 이용해 분석한다. Sysmon 로그 분석을 아주 쉽게 하기위한 Sysmon View 라는 도구가 있다. File - Import Sysmon Event logs 버튼을 눌러 아까 추출한 xml 파일을 지정해주면 된다. import 된 sysmon 로그에서 powershell 실행흔적을 검색해서 분석해본다. 202..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 A-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/691) B-1 문제는 DLL 형태로 정상 프로세스에 기생하는 악성코드가 악성 행위를 수행하는 주기를 밀리세컨즈 단위로 제출하는 것이 목표이다. 지난 A-2 문제에서 HxD 에서 발견한 BASE64 인코딩된 문자열을 CyberChef(https://gchq.github.io/CyberChef/) 에서 해당 부분의 Hex 값을 가져와 디코딩 했었는데, 스크롤을 조금 내려가 보면 레지스트리 키가 추가되는 부분을 확인할 수 있었다. 여기서 문제의 DLL 파일인 netmon.dll 을 식별할 수 있었다. everything.exe 도구를 이용해 netmon...

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 A-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/689) A-3 문제는 드랍퍼가 레지스트리 키를 수정하여 악성 DLL이 로딩되도록 했는데, 이 때 레지스트리 키가 수정된 시각과 DLL이 로드된 프로세스의 이름을 찾는것이 목표이다. 지난 A-2 문제에서 HxD 에서 발견한 BASE64 인코딩된 문자열을 CyberChef(https://gchq.github.io/CyberChef/) 에서 해당 부분의 Hex 값을 가져와 디코딩 했었는데, 여기서 조금만 스크롤을 내려보면 해당 Powershell 스크립트로 어떤 레지스트리 키가 추가되는지 확인할 수 있다. netmon.dll 이 추가되는것으로 보아 이게 ..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 A-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/683) A-2 문제는 드랍퍼가 특정 악성코드를 10분에 1회 실행하도록 등록했는데 해당 악성코드의 해시와 다운로드 URL을 알아내는 것이 목표이다. 지난 A-1 문제에서 드랍퍼가 msedge.exe 파일인 것을 확인했었다. 해당 파일은 다운로드 폴더 안에 있는 이 파일인데 HxD를 이용하여 해당 파일을 열어봤더니 중간 부분부터 Base64 인코딩된 문자열 같은게 보였다. CyberChef(https://gchq.github.io/CyberChef/) 에서 해당 부분의 Hex 값을 가져와 디코딩 한 뒤 Base64 디코딩을 한번 더 해주면 Powers..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 A-1 문제는 주어진 침해사고 이미지를 분석하여 드랍퍼가 최초 실행된 시각과 PID를 특정하는 것이 목표이다. 본선에서는 prob_a, prob_b 두개의 win10 침해사고 이미지가 주어졌고 이번 문제는 prob_a 문제를 이용해 해결할 수 있었다. 실행시켜 보면 그냥 평범한 win10 처럼 보인다. 문제에서 정상 프로그램으로 위장한 악성 프로그램이라고 해서 뭔가 사용자를 속여 다운로드 받게끔 했을것이라 생각했다. 실제로 다운로드 폴더에 들어가보면 뭔가 정상 파일처럼 보이는 설치파일들이 들어있는것을 확인할 수 있다. 정확히 무슨일이 일어났는지 확인하기 위해 윈도우 키 + r 을 눌러 실행창을 연 후 eventvwr 를 입력해 이벤트 뷰어를 열어봤다. 이..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 H-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/681) H-2 문제는 공격자가 스크린 캡처, 클립보드 데이터 유출 시 secure shell 을 활용했는데, 이 때 공격자가 파일을 업로드한 서버의 계정 및 암호를 찾는것이 목표이다. 사실 이번 문제는 거의 공짜로 주는 문제였다.. 이전 문제에서 이미 다 답을 구해놨기 때문.. 위 파워쉘 스크립트들이 스크린 캡쳐, 클립보드 데이터를 유출하는 내용인데 공통적으로 들어가 있는 이 부분을 보면 된다. pscp.exe 를 이용해 원격지인 192.168.35.85로 데이터를 유출하는데 -pw 옵션으로 알 수 있듯이 비밀번호는 l@2@ruz!! 이고 서버 계정..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 G-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/679) H-1 문제는 공격자가 스크린 캡쳐를 위해 사용한 스크립트에서 플래그를 획득하는 것이 목표이다. 지난 문제에서 위와 같이 스크린 캡쳐하는 파워쉘 스크립트를 찾았었다. pscp.exe를 이용해 C2 서버로 데이터를 전송하는데 스크립트 중간에 보면 뭔가 수상한게 껴있다. 바로 이 부분인데 어떤 숫자들이 있고 $xorkey 에는 77이 정의되어 있다. 뭔가 XOR을 해야할것 같은 느낌이다. CyberChef(https://gchq.github.io/CyberChef) 에서 해당 값을 디코딩 해준 뒤, 77로 XOR하고, 역순으로 배열해주게 되면 숨..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-4 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/675) G-1 문제는 클립보드 데이터가 최초로 유출된 시각과 유출에 사용된 도구의 당시 PID를 찾는것이 목표이다. 이전에 풀이했던 E-3 문제를 보면 (https://hackingstudypad.tistory.com/665) 복원한 바이너리 파일에서 http://192.168.35.85/logout.php 로 접속하는것을 볼 수 있다. 해당 위치로의 접속 흔적은 바탕화면\Log 폴더 안에 있는 4.pcapng 파일에서 찾을 수 있다. 이렇게 logout string을 검색하면 금방 찾는다. 해당 패킷을 우클릭 - Follow - HTTP Strea..