[JISCTF] Indicate - MISC / Hybrid Analysis

 

문제 자체는 쉽지만 접근하는게 어려웠던 문제

 

어느 카테고리에 있었는지 기억이 안나서 MISC 로 분류했다.

 

MISC는 miscellaneous의 약자로 여러가지 잡다한 이라는 의미를 가지고 있다.

 

반응형

 

문제 설명을 읽어보면 SIEM 솔루션에서 이상한 네트워크 트래픽을 식별했는데

 

이게 무슨 의미인지 알아봐 달라고 한다.

 

SIEM 이란 Security Information and Event Management 의 약자로

 

다양한 보안 솔루션에서 발생하는 로그를 한곳에서 분석해

 

보안 위협을 탐지하고 대응할 수 있도록 도와주는 솔루션이다.

 

001351e2ab912ce17ce9ab2c7465f1a265aa975c879e863dea06e177b62d8750
fe1a602aadba2e52b3b2cf82139c4d10c9fc14889435e0bd9aa54d30760fd1db
352656186eb3bb7e7495fa0922a4defce93bc2213c4d37adc6e42b59debee09e
d672df1dea88e3ad2159b9c7b2df1dbd39b912e648c5097800f48fbf95cadd70
352656186eb3bb7e7495fa0922a4defce93bc2213c4d37adc6e42b59debee09e
0e6957de845ce5a1b0a73e91d12383714bda0fac66b13002170c1ff73426b82a
069cf46549f856b7fc266feab68968ad1d5ec4569f6326d71e999526b721ee0c
39759c4fd7193a29cda8ea8714e690c8b5ec374b659a3a1a3bc402c1ba20364a
c25b0ab2413a7b300fc06d5dc5ec9807ec21372b27a5162fa2eb9729b84dd28c
213d537d2f63c70249a4244c394d9c364476ca6fd1ee04d5dda7ddaaf60a04e7
e366a166b172f225d842c0662f5cb261c0d7b50430dbd392f3eb33249fdb375c

 

위 데이터들이 SIEM 에서 탐지된 문자열들인데

 

뭔가 길이가 일정한게 해시값 처럼 생겼다.

 

크기로만 보면 SHA256 해시 인듯 했다.

 

무슨 해시값인지 알아내는데 꽤 오랜 시간이 걸렸다.

 

SIEM 에서 탐지되었다고 하니 내부시스템에 악성코드 감염과 관련이 있는게 아닐가 하고 생각했다.

 

 

여기저기 시도해보다가 Hybrid Analysis 사이트에서 해답을 찾았다.

(https://www.hybrid-analysis.com/)

 

Hybrid Analysis 는 악성코드 분석을 할때 주로 사용하는 사이트이다.

 

악성코드 샘플을 업로드 하면

 

악성코드의 행위를 분석해서 사용자에게 보고서를 제공한다.

 

한번 분석된 악성코드는 해시값을 남겨서 계속 검색될 수 있도록 하는 기능도 있다.

 

문제에서 주어진 해시값은 분석된 악성코드의 해시값이었다.

 

 

예를들어 Report Search 에서 첫번째 있는 해시값을 넣고 Search 버튼을 누르면

 

 

Analysis Overview 페이지로 넘어가며 

 

이전에 분석했던 결과를 보여주게 된다.

 

백신에서 탐지하지 않는걸 보니(CLEAN) 악성코드는 아니었나 보다.

 

 

위에서부터 차례로 하나씩 검색해보다가

 

069cf46549f856b7fc266feab68968ad1d5ec4569f6326d71e999526b721ee0c

 

를 검색해봤더니

 

JISCTF2020.pdf 파일을 분석한 결과가 나왔다.

 

분석결과 아래쪽을 보면

 

해당 파일을 가상머신에서 실행시킨 후의 스크린샷을 제공하는데

 

 

스크린샷에 PDF 파일 안에 적혀있는 플래그가 찍혀있었다.