[2021 화이트햇 콘테스트] B-2 - 포렌식 / Sysmon View

 

2021 화이트햇 콘테스트 예선전에 나왔던 문제

 

시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.

 

CTFD 플랫폼을 이용해 진행이 되었는데,

 

문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.

 

반응형

 

 

거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다.

 

해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다.

 

B-2 문제는 이전 B-1에서 계속 이어지는 문제이다.

(https://hackingstudypad.tistory.com/569)

 

 

B-1 문제에서는 A-3에서 발견한

 

3분기-취약점-조치권고.hwp 파일을 분석했었다.

 

B-2
드랍퍼가 취약점을 최초 발현한 시각과 취약점의 원인이 되는 바이너리의 파일명은 무엇인가?

 

 

B-1 문제에서 hwp 내에 있는

 

BIN0001.eps 를 분석해서 위와 같은 Postscript 를 찾았었다.

 

문제는 이게 어떤 바이너리가 원인이 되어서 최초 발현되었냐는 건데

 

 

윈도우 키 + r 을 눌러 실행창을 연 후

 

eventvwr 를 입력해 이벤트 뷰어를 열어봤다.

 

 

이벤트 뷰어 창에서

 

응용 프로그램 및 서비스 로그 - Microsoft - Windows 를 따라가면

 

Sysmon 이라는 로그가 보인다.

 

Sysmon 로그는 마이크로소프트에서 제공하는 Sysinteranls suite 에 포함된 도구로

 

아주 강력한 윈도우 이벤트 로깅 기능을 제공한다.

 

기본적으로 들어가 있진 않고 별도로 설치를 해야하는데

 

설치해두면 나중에 침해사고 조사할때 아주 유용하게 사용할 수 있다.

 

 

Sysmon 로그를 우클릭 - 다른 이름으로 모든 이벤트 저장을 눌러준 후

 

 

확장자를 .xml 로 지정해 저장해준다.

 

 

Sysmon 로그 분석을 아주 쉽게 하기위한

 

Sysmon View 라는 도구가 있다.

 

대회 당시에는 이걸 안썼는데

 

그 후에 찾아보니 이런게 있었다.

 

 

File - Import Sysmon Event logs 버튼을 눌러

 

아까 추출한 xml 파일을 지정해주면 된다.

 

 

잠시 기다리면 이렇게 로드가 된다.

 

하나씩 들어가보면서 살펴보다가

 

gbb.exe 라는 프로세스가 보여서 눌러봤다.

 

Parent Image 에 Hwp.exe 라고 적혀있어서 

 

뭔가 한글파일과 관련이 있다고 판단했다.

 

 

자세한 내용을 봤더니

 

역시나 3분기-취약점-조치권고.hwp 파일로부터 실행된 프로세스 였고,

 

Command line 에 적혀있는 temp 경로,

 

eps 파일 등을 고려했을때

 

gbb.exe 가 취약점의 원인이 되는 바이너리라고 생각했다.

 

저기 나와있는 UTC Time 에 우리나라 시간대인 +0900을 더해줘서

 

FLAG{2021_09_09_05_47_35_%Programfiles(x86)%_hnc_common80_imgfilters_gs_gs8.60_gbb.exe}가

 

이번 문제의 플래그였다.