[2022 화이트햇 콘테스트 본선] A-2 - 포렌식 / HxD / Powershell

 

2022 화이트햇 콘테스트 본선에 출제되었던 문제

 

이전 A-1 문제와 이어지는 문제이다.

(https://hackingstudypad.tistory.com/683)

 

반응형

 

A-2 문제는

 

드랍퍼가 특정 악성코드를 10분에 1회 실행하도록 등록했는데

 

해당 악성코드의 해시와 다운로드 URL을 알아내는 것이 목표이다.

 

 

지난 A-1 문제에서

 

드랍퍼가 msedge.exe 파일인 것을 확인했었다.

 

 

해당 파일은

 

다운로드 폴더 안에 있는 이 파일인데

 

 

HxD를 이용하여 해당 파일을 열어봤더니

 

중간 부분부터 Base64 인코딩된 문자열 같은게 보였다.

 

 

CyberChef(https://gchq.github.io/CyberChef/) 에서

 

해당 부분의 Hex 값을 가져와 디코딩 한 뒤

 

Base64 디코딩을 한번 더 해주면

 

Powershell 스크립트가 나온다.

 

 

 

http://15.165.18.103/register 로부터 ssp.exe 파일을 다운받는 스크립트이다.

 

 

다운로드 되는 경로인

 

System32 폴더로 가면 실제로 ssp.exe 가 있는것을 확인할 수 있고

 

해시값을 확인해 플래그로 제출하면 된다.

 

따라서 이번 문제의 플래그는

 

FLAG{EC5DD19D605222F191E2A1D490A116E4B58D1749_http://15.165.18.103/register} 가 된다.