[2021 화이트햇 콘테스트 본선] D-2 - 포렌식 / Sysmon View

 

2021 화이트햇 콘테스트 본선에 나왔던 문제

 

시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.

 

CTFD 플랫폼을 이용해 진행이 되었는데,

 

문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.

 

반응형

 

 

이번 문제부터는 S2_WIN_Viction.vmx 파일로 진행된다.

 

해당 파일은 침해사고가 발생한 윈도우 시스템을 이미징한 것이다.

 

D-2 문제는 이전 D-1에서 계속 이어지는 문제이다.

(https://hackingstudypad.tistory.com/620)

 

D-2
공격자가 변조한 레지스트리 키는 무엇인가?

 

이번엔 공격자가 변조한 레지스트리 키를 찾는것이 문제이다.

 

이번 문제는 예선에서 했던것 처럼

 

Sysmon 로그를 이용해 확인했다.

 

 

윈도우 키 + r 을 눌러 실행창을 연 후

 

eventvwr 를 입력해 이벤트 뷰어를 열어서

 

 

이벤트 뷰어 창에서

 

응용 프로그램 및 서비스 로그 - Microsoft - Windows 를 따라가면

 

Sysmon 이라는 로그가 보인다.

 

Sysmon 로그는 마이크로소프트에서 제공하는 Sysinteranls suite 에 포함된 도구로

 

아주 강력한 윈도우 이벤트 로깅 기능을 제공한다.

 

기본적으로 들어가 있진 않고 별도로 설치를 해야하는데

 

설치해두면 나중에 침해사고 조사할때 아주 유용하게 사용할 수 있다.

 

 

Sysmon 로그를 우클릭 - 다른 이름으로 모든 이벤트 저장을 눌러준 후

 

 

확장자를 .xml 로 지정해 저장해준다.

 

 

Sysmon 로그 분석을 아주 쉽게 하기위한

 

Sysmon View 라는 도구가 있다.

 

대회 당시에는 이걸 안썼는데

 

그 후에 찾아보니 이런게 있어 Write up은 이걸로 써본다.

 

 

File - Import Sysmon Event logs 버튼을 눌러

 

아까 추출한 xml 파일을 지정해주면 된다.

 

 

잠시 기다리면 이렇게 로드가 된다.

 

 

레지스크리 키가 변경되었으니

 

reg.exe 가 동작했을것이라 생각했다.

 

왼쪽에서 reg.exe를 찾아 클릭하면

 

오른쪽에 저런 도표가 나온다.

 

 

그중 가장 수상한 맨 오른쪽 powershell 실행 흔적을 눌러보면

 

reg.exe 로 레지스트리 키를 등록하는것을 볼 수 있다.

 

HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf\ 경로에

 

C:\Users\PC_014\AppData\Roaming\OFFICE.dll 파일을 실행시키도록 하는

 

레지스트리 키를 등록하고 있다.

 

따라서 이번 문제의 플래그는

 

레지스트리 경로인

 

FLAG{HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf\} 가 된다.