[2022 화이트햇 콘테스트] B-3 - 포렌식 / Sysmon View

 

2022 화이트햇 콘테스트 예선에 출제되었던 문제

 

이전 B-2 문제와 이어지는 문제이다.

(https://hackingstudypad.tistory.com/647)

 

반응형

 

B-3 문제는 공격자가 악성 행위를 위해

 

다운로드 받는 도구 모음(tar)의 sha1 해시값을 구하는 것이 목표이다.

 

문제 해결에는 Sysmon 로그를 이용했다.

 

 

윈도우 키 + r 을 눌러 실행창을 연 후

 

eventvwr 를 입력해 이벤트 뷰어를 열어봤다.

 

 

이벤트 뷰어 창에서

 

응용 프로그램 및 서비스 로그 - Microsoft - Windows 를 따라가면

 

Sysmon 이라는 로그가 보인다.

 

Sysmon 로그는 마이크로소프트에서 제공하는 Sysinteranls suite 에 포함된 도구로

 

아주 강력한 윈도우 이벤트 로깅 기능을 제공한다.

 

기본적으로 들어가 있진 않고 별도로 설치를 해야하는데

 

설치해두면 나중에 침해사고 조사할때 아주 유용하게 사용할 수 있다.

 

 

Sysmon 로그를 우클릭 - 다른 이름으로 모든 이벤트 저장을 눌러준 후

 

 

확장자를 .xml 로 지정해 저장해준다.

 

 

Sysmon 로그 분석을 아주 쉽게 하기위한

 

Sysmon View 라는 도구가 있다.

 

 

File - Import Sysmon Event logs 버튼을 눌러

 

아까 추출한 xml 파일을 지정해주면 된다.

 

 

잠시 기다리면 이렇게 로드가 된다.

 

 

All Events View 탭에서

 

지난 문제에서 확인했던

 

악성코드 다운받은 시각인 09:50:47 이후의 로그를 살펴보면

 

tar.exe 가 동작하여

 

rclone.exe, pscp.exe, netsess.exe 등등의 파일들을 압축을 푼 흔적을 찾을 수 있다.

 

 

다 찾아보면

 

tcping.exe, mimidrv.sys, mimikatz.exe, mimilib.dll, nbtscan.exe, netsess.exe, pscp.exe, rclone.exe

 

이렇게 8개의 파일을 압축 푸는것을 확인할 수 있다.

 

 

더블클릭해서 로그를 자세히 보면

 

C:\Windows\System32\p.tar 파일을 압축을 풀어

 

C:\windows\System32 경로 아래에 생성하고 있다.

 

 

실제로 해당 경로로 들어가보면

 

tcping.exe 를 비롯한 프로그램들이 들어가 있는것을 볼 수 있는데

 

문제는 sha1 해시값을 구해야하는

 

p.tar 파일은 지워지고 없다는 것이다.

 

하지만 다시 만들어 낼 수 있다.

 

 

System32 폴더 안에서

 

압축 해제된 것으로 확인된 파일들을 이렇게 모아준 뒤,

(Mimikatz는 폴더안에 다 들어있는것으로 확인)

 

반디집으로 다시 tar 압축을 해주면 된다.

 

여기서 주의할 점은

 

tar 압축할 경우 파일이 압축되는 순서가 매우 중요하기 때문에

 

순서도 올바르게 정렬해서 압축해줘야 한다는 것이다.

 

 

압축한 p.tar 에서 sha1 해시값을 계산한

 

FLAG{6ABF817D54A13E2772FAC1D7434B91E5FF44950E} 가 플래그가 된다.