[2021 화이트햇 콘테스트 본선] E-1 - 포렌식 / Wireshark

 

2021 화이트햇 콘테스트 본선에 나왔던 문제

 

시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.

 

CTFD 플랫폼을 이용해 진행이 되었는데,

 

문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.

 

반응형

 

 

이번 문제부터는 S2_WIN_Viction.vmx 파일로 진행된다.

 

해당 파일은 침해사고가 발생한 윈도우 시스템을 이미징한 것이다.

 

E-1 문제는 이전 D-2에서 계속 이어지는 문제이다.

(https://hackingstudypad.tistory.com/622)

 

E-1
공격자가 레지스트리 키를 통해 실행하는 바이너리의 생성 시각을 알아내어라

 

이번에는 지난 문제에서 생성한

 

레지스트리 키를 통해 실행하는 바이너리의 생성 시각을 알아내는것이 목표이다.

 

 

지난 문제에서 Sysmon 로그 분석을 통해

 

C:\Users\PC_014\AppData\Roaming\OFFICE.dll 파일을 실행시키도록

 

설정이 되었다는것을 알 수 있었다.

 

 

해당 경로를 찾아가보면

 

정말 OFFICE.dll 파일이 생성되어 있는게 보인다.

 

 

우클릭 - 속성에서 파일 생성 시간을 확인해서 제출을 시도했는데

 

이게 정답이 아니었다.

 

파일 날짜가 뭔가 조작이 되었나보다.

 

 

어디서 찾아야하나 고민하다가

 

C:\Logs 폴더의 1.pcapng 패킷 캡쳐 파일에서 실마리를 찾을 수 있었다.

 

 

.dll 로 문자열 검색을 해보니

 

HTTP로 /OFFICE.dll 파일을 다운로드 받은 흔적을 찾을 수 있었다.

 

 

해당 패킷이 잡힌 시간이

 

문제의 플래그였다.

 

FLAG{2021_10_05_19_51_18}