[2021 화이트햇 콘테스트] C-2 - 포렌식

 

2021 화이트햇 콘테스트 예선전에 나왔던 문제

 

시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.

 

CTFD 플랫폼을 이용해 진행이 되었는데,

 

문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.

 

반응형

 

 

거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다.

 

해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다.

 

C-2 문제는 역시나 이전 C-1에서 계속 이어지는 문제이다.

(https://hackingstudypad.tistory.com/576)

 

C-2
드랍퍼가 자동 실행 악성코드를 파일 시스템에 최초로 생성한 시각은 언제인가?

 

C-2 문제는 자동실행 악성코드가 최초로 생성된 시각을 물어본다.

 

 

지난번 C-1 문제에서

 

PostScript 를 분석해

 

자동 실행 경로인 \\Miscosoft\\Windows\\Start Menu\\Programs\\StartUp 에

 

IIsExt.vbs 파일이 생성된다는 것을 알 수 있었다.

 

 

주어진 S1_Docs_Malware.vmx 이미지에서

 

해당 경로를 찾아가보면

 

정말 IIsExt.vbs 파일이 생성되어있는것을 확인할 수 있다.

 

 

대용을 열어보면

 

powershell.exe 을 실행시켜 뭔가 나쁜짓을 하는건데

 

악용될까봐 전체 스크립트는 올리지 않는다.

 

문제는 파일 시스템에 이 IIsExt.vbs 가 생성된 시각인데

 

 

이건 파일 속성을 확인하면 아주 쉽다.

 

우클릭 해서 속성을 눌러준 뒤

 

만든 날짜 부분을 확인하면 된다.

 

가끔 이 부분이 조작된 경우도 있으나 

 

이번 문제는 그런게 아닌듯

 

FLAG{2021_09_09_05_47_37} 이 플래그였다.