보안맨

[E-5] 공격자가 가장 첫번째로 유출한 파일의 SHA1 해시는? 2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-4 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/718) 정신을 어디 뒀었는지 이번 문제화면도 역시 캡쳐를 못했다.. 넘 아쉬운 부분.. Sysmon View 도구를 이용해 피해 윈도우 이미지의 sysmon 로그를 분석하다보면 powershell 실행기록 중 PID 가 4564인 로그를 찾을 수 있다. BASE64 인코딩된 명령어가 실행되었는데 $base64EncodedString = "여기에_Base64_문자열_입력"; [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBa..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/716) E-4 문제는 E-2에서 식별한 악성코드가 Injection 하는 악성 DLL을 분석하여 플래그를 획득하는 것이 목표이다. E-2 에서 식별한 악성코드인 FXSSVC.dll 을 IDA로 분석하다 보면 System32 경로에 있는 splsrv64.dll 로 뭔가를 하고있는걸 볼 수 있다. 아마 이 파일이 Injection 대상일거라 생각해서 해당파일을 찾아 역시 IDA를 이용해 분석해보았다. splsrv64.dll 을 분석해보면 어떤 값을 0x18로 xor 하여 szUrlName 에 담고있는것을 확인할 수 있다. xor 하는 대상은 여기에 보이..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/714) E-3문제는 악성코드가 DLL Injection을 수행하는데 이때 Injection의 대상이 되는 정상 프로세스의 이름과 최초로 Attach 한 PPID가 무엇인지 알아내는것이 목표이다. 지난 문제에서 prob_b 이미지 내에 있는 FXSSVC.dll 악성코드를 식별했었다. 해당 악성코드는 파워쉘 코드를 통해 http://15.165.18.103/api 로부터 다운받은 것이었다. IDA 도구를 이용해 FXSSVC.dll 파일을 열어 분석해보면 DLL Injection 대상 프로세스는 explorer.exe 임을 알아낼 수 있다. sysmon ..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/712) E-2 문제는 공격자가 호스트에 침투한 Windows 서비스 중 하나를 조작하여 악성코드를 설치했는데, 해당 악성코드의 해시 값과 다운로드된 URL를 특정하는 것이 목표이다. 이미지를 분석하다 보면 cli_mgr.ps1 파워쉘 스크립트를 찾을 수 있다. 해당 스크립트의 내용은 위와 같은데 http://15.165.18.103/api 로부터 C:\Windows\System32\FXSSVC.dll 파일을 다운로드 받는것을 확인할 수 있다. 실제로 prob_b 이미지에서 해당 경로에 가보면 FXSSVC.dll 이 있는걸 볼 수 있다. 혼자만 수정한..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 D-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/710) E-1 문제는 Lateral Movement 시에 호스트 A에서 요청한 명령이 호스트 B에서 실행되었다고 한다. 이때 호스트 B에서 명령을 수행하는 프로세스의 이름을 찾는것이 목표이다. 이번 문제부터는 이전 prob_a 이미지가 아닌 prob_b 이미지로 해결할 수 있었다. 둘 다 똑같은 Windows10 이미지인데 문제 시나오상 a가 먼저 악성코드에 감염이 되고, 그게 수평이동되어서 b도 감염이 된 컨셉이다. 프로세스이름을 찾는 것이니 prob_b 이미지에서 프리패치를 확인해 봤다. 프리패치를 분석할때는 위의 WinPrefetchView 라..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 D-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/708) D-2 문제는 공격자가 무력화 한 도구를 실행하면 악성코드가 대신 실행되는데, 해당 악성코드가 최초 실행된 시각과 PID를 특정하는 것이 목표이다. 이전문제에서 난독화를 풀었던 파워쉘 코드를 사펴보면 http://15.165.18.103/gmae 에서 dd.exe 를 다운받아 무력화한 도구를 실행시켰을 때 dd.exe가 대신 실행되도록 하는것을 볼 수 있다. sysmon view를 이용해 sysmon 로그에서 dd.exe를 찾아준다. 상세내용을 확인해보면 최초 실행시각과 PID를 확인할 수 있다. 따라서 이번 문제의 플래그는 FLAG{1251..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 C-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/706) D-1 문제는 공격자가 분석관의 분석 도구를 무력화시키기 위해 안티포렌식 기법을 적용하였는데, 이때 무력화 된 도구를 알파벳 순으로 나열하는것이 목표이다. 이번문제는 C-1 에서 나왔던 파워쉘 스크립트를 이용해 해결할 수 있다. C:\Users\PC-A\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine 경로에 ConsoleHost_histroy.txt 파일내에서 해당 로그를 찾을 수 있었고 $base64EncodedString = "여기에_Base64_문자열_입력"; [System.Text.E..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 C-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/703) C-2 문제는 공격자가 탐지를 회피하기 위해 MAC 타임을 수정했는데, 이를 위해 스크립트가 최초 실행된 시각과 powershell 의 PID를 찾는것이 목표이다. sysmon view 도구를 이용해서 sysmon 로그를 분석해 powershell 실행이력을 찾았다. 그 중 하나에서 Base64 인코딩된 파워쉘 스크립트를 실행시킨 흔적을 볼 수 있었다. $base64EncodedString = "여기에_Base64_문자열_입력"; [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBa..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-5 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/701) C-1 문제는 공격자가 두번째 호스트로 이동하기 위해 PC에 생성한 작업의 이름을 찾는것이 목표이다. 침해사고 당한 Win10 이미지를 조사하다가 C:\Users\PC-A\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine 경로에 ConsoleHost_histroy.txt 파일을 찾았다. 해당 파일은 파워쉘 명령어 실행 기록이 저장되는데 열어서 내용을 확인해보니 Base64 인코딩된 파워쉘 명령어들을 찾을 수 있었다. $base64EncodedString = "여기에_Base64_문자열_입력";..

[B-5] 해당 가상머신의 악성코드들이 공통적으로 통신하고 있는 서버 아이피와 포트는? 플래그 형식은 FLAG{IP_PORT} 2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-4 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/699) 정신을 어디 뒀었는지 이번 문제화면도 역시 캡쳐를 못했다.. 넘 아쉬운 부분.. B-5 문제는 침해사고를 당한 Windows10 이미지에서 동작하는 악성코드들이 공통적으로 통신하고 있는 서버 아이피와 포트를 찾는것이 목표이다. 사실 이건 지난 B-4 문제를 풀면 바로 해결할 수 있는데 바탕화면에 있는 Log 폴더의 a-1.pcapng 파일을 분석하면 목적지 주소가 15.165.18.103 인 곳으로 계속 통신이 이루어..