[2022 화이트햇 콘테
2022 화이트햇 콘테스트 예선에 출제되었던 문제
이전 E-2 문제와 이어지는 문제이다.
(https://hackingstudypad.tistory.com/665)
E-3 문제는 피해 호스트에 설치된 악성코드 중
시스템 부팅 시 피해 시스템의 파일을 유출하는 악성코드가
최초로 실행된 시각과, 당시 PID를 찾는것이 목표이다.
윈도우 이미지를 켜보면
위와 같이 cmd 창이 갑자기 켜지면서
이미지 내에 있는 파일 목록이 어딘가로 유출되고있는 듯한 장면이 연출된다.
SysinternalsSuite의 Autoruns 도구를 이용해서
자동실행 관련 설정들을 확인해 보면
시스템 부팅과 관련한
\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 경로에서
Microsotf Teams.lnk 파일이 실행되도록 설정이 되어있는것을 확인할 수 있다.
실제 해당 경로를 찾아가
링크 파일의 속성을 보면
C:\Windows/System32\rundll32.exe 와
C:\Windows/System32\gametime.dll, Register 를 실행시키는 것을 볼 수 있다.
이제 다시 한번 Sysmon 로그를 살펴본다.
B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다.
(https://hackingstudypad.tistory.com/649)
rundll32.exe 를 검색해준 후
문제의 타임라인과 가장 근접한 시간의 로그를 확인해 준다.
더블클릭해 로그를 자세히 보면
2022-10-13 19:02:25(+0900) 에 실행되었고,
당시 PID는 8248 이었음을 확인할 수 있다.
따라서 이번 문제의 플래그는
FLAG{20221013190225_8248} 이 된다.
'CTF > 포렌식' 카테고리의 다른 글
| [2022 화이트햇 콘테스트] F-2 - 포렌식 / Sysmon View / Powershell (218) | 2023.11.11 |
|---|---|
| [2022 화이트햇 콘테스트] F-1 - 포렌식 / Wireshark (195) | 2023.11.07 |
| [2022 화이트햇 콘테스트] E-2 - 포렌식 / Wireshark / IDA / Python (174) | 2023.10.30 |
| [2022 화이트햇 콘테스트] E-1 - 포렌식 / Sysmon View / Powershell (171) | 2023.10.26 |
| [2022 화이트햇 콘테스트] D-3 - 포렌식 / Sysmon View / WinPrefetchView (212) | 2023.10.22 |