[2021 화이트햇 콘테스트] C-1 - 포렌식
2021 화이트햇 콘테스트 예선전에 나왔던 문제
시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.
CTFD 플랫폼을 이용해 진행이 되었는데,
문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.
거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다.
해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다.
C-1 문제는 역시나 이전 B-1에서 계속 이어지는 문제이다.
(https://hackingstudypad.tistory.com/569)
B-1 문제에서는 A-3에서 발견한
3분기-취약점-조치권고.hwp 파일을 분석했었다.
C-1
드랍퍼가 생성한 자동실행 악성코드의 파일명은 무엇인가?
C-1은 드랍퍼가 생성한 자동실행 악성코드의 파일명을 찾는것이다.
3분기-취약점-조치권고.hwp 가 드랍퍼라는것을 알았고,
이미 SSView 를 통해 해당 파일을 분석해서 별다른 작업을 하지 않아도 풀 수 있는 문제였다.
SSView에서 BIN0001.eps 파일을 추출해 분석해서
위와 같은 PostScript 를 찾았었는데,
여기에 C-1 문제의 정답도 같이 들어있다.
바로 %!flag is ~ 의 바로 뒷부분
/vbspath 로 시작하는 부분이다.
어떤 경로가 하나 적혀있는데
\\Miscosoft\\Windows\\Start Menu\\Programs\\StartUp\\IIsExt.vbs 라고 적혀있다.
\\Miscosoft\\Windows\\Start Menu\\Programs\\StartUp 경로는
컴퓨터를 켜서 윈도우가 시작하면 자동으로 실행되는 경로이다.
여기에 IIsExt.vbs 스크립트 파일을 생성해
윈도우 시작될 때마다 스크립트가 실행될 수 있도록 만든것이다.
따라서 IIsExt.vbs 파일이 자동실행 악성코드이며,
문제의 플래그는 FLAG{%appdata%_Microsoft_Windows_Start Menu_Programs_Startup_IIsExt.vbs}가 된다.