[2021 화이트햇 콘테스트] C-1 - 포렌식

 

2021 화이트햇 콘테스트 예선전에 나왔던 문제

 

시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.

 

CTFD 플랫폼을 이용해 진행이 되었는데,

 

문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.

 

반응형

 

 

거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다.

 

해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다.

 

C-1 문제는 역시나 이전 B-1에서 계속 이어지는 문제이다.

(https://hackingstudypad.tistory.com/569)

 

 

B-1 문제에서는 A-3에서 발견한

 

3분기-취약점-조치권고.hwp 파일을 분석했었다.

 

C-1
드랍퍼가 생성한 자동실행 악성코드의 파일명은 무엇인가?

 

C-1은 드랍퍼가 생성한 자동실행 악성코드의 파일명을 찾는것이다.

 

3분기-취약점-조치권고.hwp 가 드랍퍼라는것을 알았고,

 

 

이미 SSView 를 통해 해당 파일을 분석해서 별다른 작업을 하지 않아도 풀 수 있는 문제였다.

 

 

SSView에서 BIN0001.eps 파일을 추출해 분석해서

 

위와 같은 PostScript 를 찾았었는데,

 

여기에 C-1 문제의 정답도 같이 들어있다.

 

 

바로 %!flag is ~ 의 바로 뒷부분

 

/vbspath 로 시작하는 부분이다.

 

어떤 경로가 하나 적혀있는데

 

\\Miscosoft\\Windows\\Start Menu\\Programs\\StartUp\\IIsExt.vbs 라고 적혀있다.

 

\\Miscosoft\\Windows\\Start Menu\\Programs\\StartUp 경로는

 

컴퓨터를 켜서 윈도우가 시작하면 자동으로 실행되는 경로이다.

 

여기에 IIsExt.vbs 스크립트 파일을 생성해

 

윈도우 시작될 때마다 스크립트가 실행될 수 있도록 만든것이다.

 

따라서 IIsExt.vbs 파일이 자동실행 악성코드이며,

 

문제의 플래그는 FLAG{%appdata%_Microsoft_Windows_Start Menu_Programs_Startup_IIsExt.vbs}가 된다.