CTF/포렌식
[2021 화이트햇 콘테스트] A-2 - 포렌식 / Outlook
SecurityMan
2023. 7. 13. 11:00
2021 화이트햇 콘테스트 예선전에 나왔던 문제
시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.
CTFD 플랫폼을 이용해 진행이 되었는데,
문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.
반응형
거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다.
해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다.
A-2
드랍퍼가 위치한 서버의 아이피는 무엇인가?
첫번째 문제의 풀이를 보고 오면 이해가 빠르다.
(https://hackingstudypad.tistory.com/563)
두번째 문제는 드랍퍼가 위치한 서버의 아이피를 묻는다.
첫번째 문제에서
공격자에게 이메일을 받은 시간을 물었고,
그에 따라 Outlook을 실행시켜 분석을 하였다.
그 결과 공격자에게 받은 메일을
KISA 보안팀에서 보낸 메일로 추정했었다.
이전 포스팅을 보면
이 메일이 악성 메일이라고 판단한 세가지를 적었었는데
그 중 마지막아
KISA 메일에서 첨부한 링크가 도메인이 아니라
IP 형태로 된 외부 링크였다는 것이었다.
이 메일을 통해 공격이 시작되었으니
아마도 첨부파일의 링크를 따라가면 다운로드 되는 파일이 드랍퍼일 것이다.
문제는 드랍파가 존재하는 IP를 물었으니
해당 주소에서 IP 만 골라 써준
FLAG{34.64.143.34} 가 문제의 정답이었다.
반응형