[2022 화이트햇 콘테스트 본선] C-2 - 포렌식 / Sysmon View / Powershell

 

2022 화이트햇 콘테스트 본선에 출제되었던 문제

 

이전 C-1 문제와 이어지는 문제이다.

(https://hackingstudypad.tistory.com/703)

 

반응형

 

C-2 문제는

 

공격자가 탐지를 회피하기 위해 MAC 타임을 수정했는데,

 

이를 위해 스크립트가 최초 실행된 시각과

 

powershell 의 PID를 찾는것이 목표이다.

 

 

sysmon view 도구를 이용해서

 

sysmon 로그를 분석해 powershell 실행이력을 찾았다.

 

그 중 하나에서

 

 

Base64 인코딩된 파워쉘 스크립트를

 

실행시킨 흔적을 볼 수 있었다.

 

$base64EncodedString = "여기에_Base64_문자열_입력"; 
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($base64EncodedString))

 

디코딩하기 위해선

 

위의 파워쉘 스크립트를 사용하면 된다.

 

 

디코딩 해보면

 

owl 이라는 function 에서

 

creationtime, lastaccesstime, lastwritetime 을 수정하고 있는

 

스크립트를 확인할 수 있다.

 

따라서 해당 sysmon 로그를 통해

 

이번 문제의 플래그가

 

FLAG{20221110_124758_5392} 임을 알 수 있다.