[2022 화이트햇 콘테스트] D-3 - 포렌식 / Sysmon View / WinPrefetchView

2022 화이트햇 콘테스트 예선에 출제되었던 문제

 

이전 D-2 문제와 이어지는 문제이다.

(https://hackingstudypad.tistory.com/659)

 

반응형

 

D-3 문제는

 

공격자가 피해 호스트에 접근할 때 생성한 바이너리의 이름과

 

프로세스가 최초로 실행된 시각을 찾는 것이 목표이다.

 

 

이번 문제는 Sysmon 로그를 활용했다.

 

B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다.

(https://hackingstudypad.tistory.com/649)

 

 

이전 문제에서 powershell 을 실행한 흔적을 봤었기에

 

파워쉘에 대한 로그를 확인했다.

 

 

파워쉘 로그를 보니

 

파워쉘이 실행된 후

 

Gnuwnkfi.exe 프로세스가 생성되고,

 

그 뒤에 Temp 경로에 수상한 ps1 파일이 생성된 것을 확인할 수 있었다.

 

이걸로 Gnuwnkfi.exe 가 공격자가 생성한 바이너리라 판단했다.

 

최초 실행된 시각은

 

프리패치를 확인해서 Gnuwnkfi.exe 가 언제 실행되었는지 보기만 하면 된다.

 

프리패치를 분석할때는

 

위의 WinPrefetchView 라는 도구를 사용한다.

 

구글 검색으로 쉽게 찾을 수 있고,

 

다운받아 바로 실행시키면 된다.

 

 

WinPrefetchView 를 실행해

 

GNUWNKFI.EXE를 찾으면

 

2022-10-13 18:53:16 에 마지막으로 실행되었다는것을 알아낼 수 있다.

 

따라서 이번 문제의 플래그는

 

FLAG{GNUWNKFI.EXE_20221013185316} 이 된다.