2022 화이트햇 콘테스트 예선에 출제되었던 문제
A-1 문제는 주어진 침해사고 이미지를 분석하여
공격자가 유포한 악성코드를 판별하는것이 목표였다.
이번 문제는 qual_prob_vm_win10.vmx 이미지를 이용해 해결하면 된다.
이미지를 실행시켜 보면
그냥 평범한 win10 처럼 보인다.
무슨일이 일어났는지 확인하기 위해
윈도우 키 + r 을 눌러 실행창을 연 후
eventvwr 를 입력해 이벤트 뷰어를 열어봤다.
이벤트 뷰어 창에서
응용 프로그램 및 서비스 로그 - Microsoft - Windows 를 따라가면
Sysmon 이라는 로그가 보인다.
Sysmon 로그는 마이크로소프트에서 제공하는 Sysinteranls suite 에 포함된 도구로
아주 강력한 윈도우 이벤트 로깅 기능을 제공한다.
기본적으로 들어가 있진 않고 별도로 설치를 해야하는데
설치해두면 나중에 침해사고 조사할때 아주 유용하게 사용할 수 있다.
Sysmon 로그를 우클릭 - 다른 이름으로 모든 이벤트 저장을 눌러준 후
확장자를 .xml 로 지정해 저장해준다.
Sysmon 로그 분석을 아주 쉽게 하기위한
Sysmon View 라는 도구가 있다.
File - Import Sysmon Event logs 버튼을 눌러
아까 추출한 xml 파일을 지정해주면 된다.
잠시 기다리면 이렇게 로드가 된다.
문제 설명에서
정상 프로그램으로 위장한 악성코드가 유표되었다고 했으니
최대한 정상 프로그램 처럼 보이는 로그를 찾아봤다.
그러다가 찾아낸 것이
HOffice2022_Viewer.exe 파일이었다.
한컴오피스 뷰어 설치파일인듯 한데
Sysmon 로그를 보니 temp 경로에 있는 이 파일이 실행 된 이후
io_.vbs 파일이 temp 경로에 생성된 것을 알 수 있었다.
설치파일이 실행된 후 vbs 파일이 temp 에 떨어졌다는것은
누가 봐도 의심스러운 상황이기에
HOffice2022_Viewer.exe 파일이 악성코드라고 생각했다.
한컴 오피스 뷰어 다운로드 센터(https://www.hancom.com/cs_center/csDownload.do) 에 들어가서
대회 당시 최신 버전의 한컴 오피스 뷰어 설치파일을 다운받아
SHA1 해시값을 계산한 결과가 이번 문제의 플래그였다.
FLAG{4FAA930FA19224D628EBCEBE62F8969DC9E4A511}
'CTF > 포렌식' 카테고리의 다른 글
| [2022 화이트햇 콘테스트] B-2 - 포렌식 / Wireshark (183) | 2023.10.03 |
|---|---|
| [2022 화이트햇 콘테스트] B-1 - 포렌식 / Sysmon View / WinPrefetchView (216) | 2023.09.30 |
| [2021 화이트햇 콘테스트 본선] H-1 - 포렌식 / Wireshark (168) | 2023.09.22 |
| [2021 화이트햇 콘테스트 본선] G-2 - 포렌식 / Wireshark (173) | 2023.09.20 |
| [2021 화이트햇 콘테스트 본선] G-1 - 포렌식 / Wireshark / HxD / XOR (155) | 2023.09.18 |