[2021 화이트햇 콘테스트] A-2 - 포렌식 / Outlook

 

2021 화이트햇 콘테스트 예선전에 나왔던 문제

 

시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.

 

CTFD 플랫폼을 이용해 진행이 되었는데,

 

문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.

 

반응형

 

 

거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다.

 

해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다.

 

A-2
드랍퍼가 위치한 서버의 아이피는 무엇인가?

 

첫번째 문제의 풀이를 보고 오면 이해가 빠르다.

(https://hackingstudypad.tistory.com/563)

 

두번째 문제는 드랍퍼가 위치한 서버의 아이피를 묻는다.

 

 

첫번째 문제에서 

 

공격자에게 이메일을 받은 시간을 물었고,

 

그에 따라 Outlook을 실행시켜 분석을 하였다.

 

 

그 결과 공격자에게 받은 메일을

 

KISA 보안팀에서 보낸 메일로 추정했었다.

 

이전 포스팅을 보면

 

이 메일이 악성 메일이라고 판단한 세가지를 적었었는데

 

 

그 중 마지막아

 

KISA 메일에서 첨부한 링크가 도메인이 아니라

 

IP 형태로 된 외부 링크였다는 것이었다.

 

이 메일을 통해 공격이 시작되었으니

 

아마도 첨부파일의 링크를 따라가면 다운로드 되는 파일이 드랍퍼일 것이다.

 

문제는 드랍파가 존재하는 IP를 물었으니

 

해당 주소에서 IP 만 골라 써준

 

FLAG{34.64.143.34} 가 문제의 정답이었다.