[2022 화이트햇 콘테스트 본선] B-4 - 포렌식 / Wireshark

[B-3] 문제에서 password 파일을 생성하는 악성 코드를 분석하여 플래그를 획득하라
플래그 형식은 FLAG{...}

 

2022 화이트햇 콘테스트 본선에 출제되었던 문제

 

이전 B-3 문제와 이어지는 문제이다.

(https://hackingstudypad.tistory.com/697)

 

정신을 어디 뒀었는지

 

이번 문제화면도 캡쳐를 못했다..

 

반응형

 

B-4 문제는

 

B-3 문제에서 password 파일을 생성하는 악성 코드를

 

분석해서 플래그를 획득하는 것이 목표이다.

 

 

B-3 에서 찾은 파워쉘 코드이다.

 

이걸 보고 mimikatz.exe 가 password 파일을 생성하는거라고 생각해서

 

분석을 해봤는데

 

별다른 소득이 없었다.

 

 

그래서 다시

 

바탕화면에 있는 Log 폴더의

 

a-1.pcapng 파일을 분석해봤는데

 

목적지 주소인 15.165.18.103 을 계속해서 찾아보니

 

 

main.do 와 통신한 흔적을 발견했다.

 

 

해당 패킷을

 

우클릭 - Follow - TCP Stream 해봤더니

 

 

Stream에서 숨어있던 플래그를 찾을 수 있었다.

 

C:\ProgramData\service.exe 파일과 관련있는듯 했다.