2022 화이트햇 콘테스트 예선에 출제되었던 문제
이전 C-1 문제와 이어지는 문제이다.
(https://hackingstudypad.tistory.com/651)
C-2 문제는
공격자가 자격증명을 덤프한 뒤 유출할 때 사용한 도구 이름과
해당 도구가 데이터를 유출하기 위해 최초 실행된 시각을 찾는것이 목표이다.
지난 B-3 문제에서
공격자가 다운받은 도구모음(p.tar) 의 압축을 풀면
공격자가 공격에 사용한 여러 도구들이 있는것을 확인했었다.
도구와 관련된 문제이니
이번에 사용한 도구도
여기 있는
tcping.exe, mimidrv.sys, mimikatz.exe, mimilib.dll, nbtscan.exe, netsess.exe, pscp.exe, rclone.exe
중 하나가 정답일 것이다.
이중에서 자격증명을 덤프한 내용을 유출할수 있을만한것을 고르라면
rclone.exe 일 것이다.
rclone 이라는 프로그램이
클라우드 스토리지에 특화된 업/다운로드 프로그램이기 때문이다.
이제 프리패치를 확인해서 rclone.exe 가 언제 실행되었는지 보기만 하면 된다.
프리패치를 분석할때는
위의 WinPrefetchView 라는 도구를 사용한다.
구글 검색으로 쉽게 찾을 수 있고,
다운받아 바로 실행시키면 된다.
WinPrefetchView 를 실행해
RCLONE.EXE를 찾으면
2022-10-13 18:51:57 에 마지막으로 실행되었다는것을 알아낼 수 있다.
따라서 이번 문제의 플래그는
FLAG{RCLONE.EXE_20221013095157} 가 된다.
'CTF > 포렌식' 카테고리의 다른 글
| [2022 화이트햇 콘테스트] D-1 - 포렌식 / Sysmon View / Wireshark (204) | 2023.10.14 |
|---|---|
| [2022 화이트햇 콘테스트] C-3 - 포렌식 / Powershell (190) | 2023.10.11 |
| [2022 화이트햇 콘테스트] C-1 - 포렌식 / WinPrefetchView (161) | 2023.10.07 |
| [2022 화이트햇 콘테스트] B-3 - 포렌식 / Sysmon View (152) | 2023.10.05 |
| [2022 화이트햇 콘테스트] B-2 - 포렌식 / Wireshark (183) | 2023.10.03 |