보안맨

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 D-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/659) D-3 문제는 공격자가 피해 호스트에 접근할 때 생성한 바이너리의 이름과 프로세스가 최초로 실행된 시각을 찾는 것이 목표이다. 이번 문제는 Sysmon 로그를 활용했다. B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다. (https://hackingstudypad.tistory.com/649) 이전 문제에서 powershell 을 실행한 흔적을 봤었기에 파워쉘에 대한 로그를 확인했다. 파워쉘 로그를 보니 파워쉘이 실행된 후 Gnuwnkfi.exe 프로세스가 생성되고, 그 뒤에 Temp 경로에 수상한 ps1..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 D-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/657) D-2 문제는 공격자가 피해 호스트에 접근할 때 사용한 도구와 프로토콜을 찾는 것이 목표이다. 지난 문제에서 Sysmon log 의 net share 실행 흔적을 기반으로 바탕화면의 Log 폴더 내 2.pcapng 파일을 분석해 192.168.35.199 IP 주소에서 공격자가 SMB 프로토콜을 이용해 원격 접속했다는 것을 알아냈다. 따라서 문제에서 요구하는 프로토콜은 SMB 이다. 이제 도구를 찾아야 하는데 Sysinternals Suite 도구 중 SMB 와 관련된 도구는 PSEXEC.EXE 이다. 따라서 이번 문제의 플래그는 FLAG{P..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 C-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/655) D-1 문제의 목표는 피해 호스트에 원격 접근을 수행한 공격자 서버 아이피를 찾는 것이다. 이번 문제는 Sysmon 로그와 함께 네트워크 패킷 파일을 이용해 해결했다. B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다. (https://hackingstudypad.tistory.com/649) Sysmon 로그를 보다보면 net share 명령어를 사용하는것이 보인다. 물론 이 로그의 시간대는 문제의 시간대와 맞지 않지만 net share 명령어를 쳤다는게 힌트가 되지 않을까 싶어서 SMB 프로토콜을 위주로..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 C-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/653) C-3 문제는 공격자가 데이터를 유출하기 위해 사용했던 클라우드 서버의 계정과 패스워드를 알아내는 것이 목표이다. 이번 문제는 HOffice2022_Viewer.exe 파일로부터 생성된 io_.vbs 파일을 분석해 해결할 수 있다. io_.vbs 파일을 열어보면 Base64로 인코딩된 EncodedCommand 라는 부분이 존재하는데 $base64EncodedString = "여기에_Base64_문자열_입력"; [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String(..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 C-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/651) C-2 문제는 공격자가 자격증명을 덤프한 뒤 유출할 때 사용한 도구 이름과 해당 도구가 데이터를 유출하기 위해 최초 실행된 시각을 찾는것이 목표이다. 지난 B-3 문제에서 공격자가 다운받은 도구모음(p.tar) 의 압축을 풀면 공격자가 공격에 사용한 여러 도구들이 있는것을 확인했었다. 도구와 관련된 문제이니 이번에 사용한 도구도 여기 있는 tcping.exe, mimidrv.sys, mimikatz.exe, mimilib.dll, nbtscan.exe, netsess.exe, pscp.exe, rclone.exe 중 하나가 정답일 것이다. 이..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 B-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/649) C-1 문제는 공격자가 자격증명을 덤프하기 위해 사용한 도구 이름과 프리패치 로그 상에서 해당 도구가 마지막으로 실행된 시각을 찾는것이 목표이다. 지난 B-3 문제에서 공격자가 다운받은 도구모음(p.tar) 의 압축을 풀면 mimikatz.exe 가 있다는 것을 알아냈었다. mimikatz는 워낙 유명한 자격증명 덤프 도구이기 때문에 문제에서 요구하는 첫번째 정답은 바로 알아낼 수 있다. 이제 프리패치를 확인해서 mimikatz 가 언제 실행되었는지 보기만 하면 된다. 프리패치를 분석할때는 위의 WinPrefetchView 라는 도구를 사용한..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 B-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/647) B-3 문제는 공격자가 악성 행위를 위해 다운로드 받는 도구 모음(tar)의 sha1 해시값을 구하는 것이 목표이다. 문제 해결에는 Sysmon 로그를 이용했다. 윈도우 키 + r 을 눌러 실행창을 연 후 eventvwr 를 입력해 이벤트 뷰어를 열어봤다. 이벤트 뷰어 창에서 응용 프로그램 및 서비스 로그 - Microsoft - Windows 를 따라가면 Sysmon 이라는 로그가 보인다. Sysmon 로그는 마이크로소프트에서 제공하는 Sysinteranls suite 에 포함된 도구로 아주 강력한 윈도우 이벤트 로깅 기능을 제공한다. 기본..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 B-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/644) B-2 문제는 악성코드를 다운받는 공격자 서버의 종료와 버전을 알아내는 것이 목표이다. 이전 문제에서 악성 스크립트가 실행되었던 시각을 프리패치의 WSCRIPT 의 Last Run Time 를 통해 확인했었다. 악성코드를 다운받은것은 이 시간 이후일 것이기 때문에 시간을 기준으로 잡고 분석을 진행했다. 제공된 Win10 이미지에서 바탕화면의 Log 폴더에 들어가면 pcapng 파일들이 있는것을 볼 수 있다. 이중 첫번째 1.pcapng 파일을 통해 시간을 알 수 있다. 스크립트가 실행된 2022-10-13 18:50:40 근처의 패킷을 살펴보..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 A-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/641) B-1 문제는 공격자가 사용한 드랍퍼 악성코드를 분석하여 피해 호스트에 설치된 악성코드에 대해 파악하는 것이었다. 플래그는 초기 침투에 사용한 파일과, 해당 파일에 담겨있던 스크립트가 최초 실행된 시각을 찾아서 쓰면 된다. 지난 문제에서 Sysmon View 도구를 이용해 Sysmon 로그를 분석했을 때, HOffice2022_Viewer.exe 파일로부터 io_.vbs 파일이 생성되었다는 것을 알 수 있었다. 따라서 초기 침투에 사용된 파일은 HOffice2022_Viewer.exe 이고, 이 파일에 담겨있던 스크립트가 io_.vbs 인데 ..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 A-1 문제는 주어진 침해사고 이미지를 분석하여 공격자가 유포한 악성코드를 판별하는것이 목표였다. 이번 문제는 qual_prob_vm_win10.vmx 이미지를 이용해 해결하면 된다. 이미지를 실행시켜 보면 그냥 평범한 win10 처럼 보인다. 무슨일이 일어났는지 확인하기 위해 윈도우 키 + r 을 눌러 실행창을 연 후 eventvwr 를 입력해 이벤트 뷰어를 열어봤다. 이벤트 뷰어 창에서 응용 프로그램 및 서비스 로그 - Microsoft - Windows 를 따라가면 Sysmon 이라는 로그가 보인다. Sysmon 로그는 마이크로소프트에서 제공하는 Sysinteranls suite 에 포함된 도구로 아주 강력한 윈도우 이벤트 로깅 기능을 제공한다. 기..