[2021 화이트햇 콘테스트] C-2 - 포렌식
2021 화이트햇 콘테스트 예선전에 나왔던 문제
시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.
CTFD 플랫폼을 이용해 진행이 되었는데,
문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.
거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다.
해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다.
C-2 문제는 역시나 이전 C-1에서 계속 이어지는 문제이다.
(https://hackingstudypad.tistory.com/576)
C-2
드랍퍼가 자동 실행 악성코드를 파일 시스템에 최초로 생성한 시각은 언제인가?
C-2 문제는 자동실행 악성코드가 최초로 생성된 시각을 물어본다.
지난번 C-1 문제에서
PostScript 를 분석해
자동 실행 경로인 \\Miscosoft\\Windows\\Start Menu\\Programs\\StartUp 에
IIsExt.vbs 파일이 생성된다는 것을 알 수 있었다.
주어진 S1_Docs_Malware.vmx 이미지에서
해당 경로를 찾아가보면
정말 IIsExt.vbs 파일이 생성되어있는것을 확인할 수 있다.
대용을 열어보면
powershell.exe 을 실행시켜 뭔가 나쁜짓을 하는건데
악용될까봐 전체 스크립트는 올리지 않는다.
문제는 파일 시스템에 이 IIsExt.vbs 가 생성된 시각인데
이건 파일 속성을 확인하면 아주 쉽다.
우클릭 해서 속성을 눌러준 뒤
만든 날짜 부분을 확인하면 된다.
가끔 이 부분이 조작된 경우도 있으나
이번 문제는 그런게 아닌듯
FLAG{2021_09_09_05_47_37} 이 플래그였다.