보안맨

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. A-2 드랍퍼가 위치한 서버의 아이피는 무엇인가? 첫번째 문제의 풀이를 보고 오면 이해가 빠르다. (https://hackingstudypad.tistory.com/563) 두번째 문제는 드랍퍼가 위치한 서버의 아이피를 묻는다. 첫번째 문제에서 공격자에게 이메일을 받은 시간을 물었고, 그에 따라 Outlook을 실행시켜 분석을 하였다. 그 결과 ..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. A-1 공격자에게 이메일을 받은 시각은 언제인가? 가장 첫번째 문제는 공격자에게 이메일을 받은 시각을 묻는 문제였다. VMWare 를 이용해 이미지 파일을 실행시키면 이런 화면이 나온다. 바탕화면에 뭔가 알수없는 파일들이 들어있는데 확장자가 .rabbit 인걸로 보아 랜섬웨어에 감염당한 Windows10 시스템인듯 하다. 첫번째 문제가 이메일에 ..