보안맨

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 G-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/679) H-1 문제는 공격자가 스크린 캡쳐를 위해 사용한 스크립트에서 플래그를 획득하는 것이 목표이다. 지난 문제에서 위와 같이 스크린 캡쳐하는 파워쉘 스크립트를 찾았었다. pscp.exe를 이용해 C2 서버로 데이터를 전송하는데 스크립트 중간에 보면 뭔가 수상한게 껴있다. 바로 이 부분인데 어떤 숫자들이 있고 $xorkey 에는 77이 정의되어 있다. 뭔가 XOR을 해야할것 같은 느낌이다. CyberChef(https://gchq.github.io/CyberChef) 에서 해당 값을 디코딩 해준 뒤, 77로 XOR하고, 역순으로 배열해주게 되면 숨..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 G-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/677) G-2 문제는 공격자가 스크린 캡쳐와 클립보드 데이터 캡쳐를 위해 공격자 서버로부터 스크립트를 다운받는데, 이때의 시각과 URL을 찾는것이 목표이다. G-1 문제에서 이 두 파워쉘 스크립트를 확인했었다. 내용을 보면 각각 스크린 캡쳐와 클립보드 데이터를 훔쳐가는것을 알 수 있는데 해당 파워쉘 코드가 어디서부터 시작되었는지를 확인해야 한다. E-3 문제을 풀때 복원한 바이너리에서 문제의 원인이 되는 스크립트를 http://192.168.35.85/logout.php 에서 다운받았다는걸 확인했었다. Sysmon 로그를 통해 해당 powershel..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-4 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/675) G-1 문제는 클립보드 데이터가 최초로 유출된 시각과 유출에 사용된 도구의 당시 PID를 찾는것이 목표이다. 이전에 풀이했던 E-3 문제를 보면 (https://hackingstudypad.tistory.com/665) 복원한 바이너리 파일에서 http://192.168.35.85/logout.php 로 접속하는것을 볼 수 있다. 해당 위치로의 접속 흔적은 바탕화면\Log 폴더 안에 있는 4.pcapng 파일에서 찾을 수 있다. 이렇게 logout string을 검색하면 금방 찾는다. 해당 패킷을 우클릭 - Follow - HTTP Strea..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/671) F-3 문제는 공격자가 HTTP 프로토콜을 이용하여 데이터를 유출할 때 공격자 측 URL과, 이때 피해 호스트 측 압축파일의 파일명을 찾는것이 목표이다. 사실 이건... 별도로 풀이하지 않아도 지난 F-2 문제 풀이에서 확인할 수 있다. 바로 이 sysmon 로그에서 인코딩된 powershell 스크립트를 디코딩하면 이런 결과물을 얻을 수 있었는데 공격자가 유출하는 url은 http://192.168.35.85:8000/upload 이고 피해 호스트 측의 압축파일명은 winlog.tar 가 된다.. 이렇게 끝나면 허무하기 때문에 다른 풀이도 ..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/669) F-2 문제는 공격자가 HTTP 프로토콜을 이용하여 최초로 데이터를 유출한 시각과 이 때 명령프롬포트의 PID 를 찾는것이 목표이다. 이전 문제에서 Sysmon 로그를 분석해 rundll32.exe 가 실행되었다는것을 알 수 있었다. PID 가 8248 이라는 것을 기억해둔다. 그리고 계속 따라들어가면 된다. rundll32.exe 가 cmd.exe 를 실행시킨 흔적을 찾을 수 있다. 위 로그를 보면 PPID가 방금전 rundll32.exe 의 PID 였던 8248 인것을 볼 수 있다. 마찬가지로 이번 PID는 3820 이다. Command ..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 D-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/661) E-1 문제는 공격자가 기존 프로그램의 구성 요소를 삭제하고 악성코드를 설치한 시각과 공격자가 삭제한 프로그램 경로를 찾는것이 목표이다. 이번 문제는 Sysmon 로그를 통해 초기분석을 했다. B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다. (https://hackingstudypad.tistory.com/649) 지난 D-3 문제에서 Gnuwnkfi.exe 를 실행시킨 파워쉘 로그가 찍힌 직후의 로그를 보면 또다시 한번 powershell 이 실행되고, ps1 파일이 생성되는것을 sysmon 로그를 통..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 C-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/653) C-3 문제는 공격자가 데이터를 유출하기 위해 사용했던 클라우드 서버의 계정과 패스워드를 알아내는 것이 목표이다. 이번 문제는 HOffice2022_Viewer.exe 파일로부터 생성된 io_.vbs 파일을 분석해 해결할 수 있다. io_.vbs 파일을 열어보면 Base64로 인코딩된 EncodedCommand 라는 부분이 존재하는데 $base64EncodedString = "여기에_Base64_문자열_입력"; [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String(..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. E-1 문제는 이전 D-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/580) E-1 랜섬웨어 악성코드를 다운로드 하는 URL은 무엇인가? E-1 부턴 윈도우 이미지에서 가장 먼저 눈에 띄었던 랜섬웨어 악성코드에 대해 조사한다. 랜섬웨어를 다운로드 하는 URL을 찾는 것인데 지난번 D-1 문제에..

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. D-1 문제는 이전 C-3에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/578) D-1 자동 실행 악성코드가 추가 페이로드를 다운로드 받는 아이피와 파일 경로는 무엇인가? D-1 은 자동 실행 악성코드가 추가 페이로드를 다운받는 서버 주소와 해당 파일의 경로를 찾는 문제이다. 자동 실행 악성코드는..

Active Directroy 관련된 포렌식 문제 Active Directory는 마이크로소프트가 윈도우 환경에서 사용하기 위해 개발한 기능이다. 윈도우 기반 시스템들을 네트워크 기반으로 연결해서 이들을 위한 인증 서비스를 제공한다. 문제 제목에 있는 GPO는 Group Policy Object의 약자로 Active Directory에서 사용자 및 컴퓨터 계정의 작업 환경을 제어하는데 사용할 수 있는 다양한 고급 설정을 용이하게 하는 기능이다. 문제파일로 pcap 파일이 주어지는데 이 네트워크 캡처 파일을 분석해서 관리자의 암호를 찾으라고 한다. 주어진 c12.pcap 파일은 Wireshark를 이용해서 열어볼 수 있다. 패킷이 653개로 그렇게 많은편은 아니다. 이 패킷파일에서 관리자의 암호를 어떻게 ..