2022 화이트햇 콘테스트 본선에 출제되었던 문제
이전 A-2 문제와 이어지는 문제이다.
(https://hackingstudypad.tistory.com/689)
A-3 문제는
드랍퍼가 레지스트리 키를 수정하여 악성 DLL이 로딩되도록 했는데,
이 때 레지스트리 키가 수정된 시각과 DLL이 로드된 프로세스의 이름을 찾는것이 목표이다.
지난 A-2 문제에서
HxD 에서 발견한 BASE64 인코딩된 문자열을
CyberChef(https://gchq.github.io/CyberChef/) 에서
해당 부분의 Hex 값을 가져와 디코딩 했었는데,
여기서 조금만 스크롤을 내려보면
해당 Powershell 스크립트로
어떤 레지스트리 키가 추가되는지 확인할 수 있다.
netmon.dll 이 추가되는것으로 보아
이게 악성 DLL 이라고 판단했다.
레지스트리 키가 추가되었으니 관련해서 분석을 해봤는데
http://forensic.korea.ac.kr/tools.html
http://forensic.korea.ac.kr/tools.html
forensic.korea.ac.kr
분석에는 고려대학교에서 만든 REGA 라는 도구를 사용했다.
위 링크에서 다운로드 받을 수 있다.
침해당한 윈도우 이미지의
C:\Windows\System32\config 경로에 있는
SAM, SECURITY, SOFTWARE, SYSTEM 과 같은 하이브 파일을 분석한다.
파일 - 레지스트리 파일 수집 - 현재 시스템 레지스트리 수집을 해서
하이브 파일을 수집하고, 저정할 폴더를 지정해 준다.
그런다음 레지스트리 분석을 눌러
아까 하이브 파일을 저장한 경로를 지정해준 뒤
분석 시작 버튼을 눌러주면 된다.
잠시 기다리면 이렇게 분석이 완료된다.
아까 파워쉘 스크립트에서 본
HEKY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\netmon 를
찾아가 본다.
레지스트리 키가 추가된 시간을 확인해보면
2022년 11월 10일 12시 39분 18초 인것을 볼 수 있다.
실행 시각을 찾을때는 Prefetch 라는것을 이용해 분석한다.
프리패치는 윈도우 XP에서 부터 사용된 메모리 관리 정책이다.
응용 프로그램이 필요로 하는 파일과 데이터의 주요 부분을
메모리에 로드하여 효율적으로 사용할 수 있게끔 하는 것이다.
이 프리패치를 분석하면
어떤 프로그램들이 실행되었는지 대략 알 수 있게 된다.
프리패치를 분석할때는
위의 WinPrefetchView 라는 도구를 사용한다.
구글 검색으로 쉽게 찾을 수 있고,
다운받아 바로 실행시키면 된다.
해당 도구로 확인해보니
REG.EXE 와 MSEDGE.EXE 가 실행된 후
netmon.dll 을 로드한 프로그램은
SPOOLSV.EXE 인것으로 확인했다.
시간대도 12시39분 이후로 찍혀서 해당 프로세스가 맞다고 판단했다.
따라서 이번 문제으 플래그는
FLAG{20221110_123918_SPOOLSV.EXE} 가 된다.
'CTF > 포렌식' 카테고리의 다른 글
| [2022 화이트햇 콘테스트 본선] B-2 - 포렌식 / Sysmon View (131) | 2024.01.13 |
|---|---|
| [2022 화이트햇 콘테스트 본선] B-1 - 포렌식 / IDA (112) | 2024.01.07 |
| [2022 화이트햇 콘테스트 본선] A-2 - 포렌식 / HxD / Powershell (86) | 2023.12.26 |
| [2022 화이트햇 콘테스트 본선] A-1 - 포렌식 / Sysmon View (85) | 2023.12.20 |
| [2022 화이트햇 콘테스트] H-2 - 포렌식 / Powershell (168) | 2023.12.08 |