보안맨

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 C-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/655) D-1 문제의 목표는 피해 호스트에 원격 접근을 수행한 공격자 서버 아이피를 찾는 것이다. 이번 문제는 Sysmon 로그와 함께 네트워크 패킷 파일을 이용해 해결했다. B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다. (https://hackingstudypad.tistory.com/649) Sysmon 로그를 보다보면 net share 명령어를 사용하는것이 보인다. 물론 이 로그의 시간대는 문제의 시간대와 맞지 않지만 net share 명령어를 쳤다는게 힌트가 되지 않을까 싶어서 SMB 프로토콜을 위주로..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 C-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/653) C-3 문제는 공격자가 데이터를 유출하기 위해 사용했던 클라우드 서버의 계정과 패스워드를 알아내는 것이 목표이다. 이번 문제는 HOffice2022_Viewer.exe 파일로부터 생성된 io_.vbs 파일을 분석해 해결할 수 있다. io_.vbs 파일을 열어보면 Base64로 인코딩된 EncodedCommand 라는 부분이 존재하는데 $base64EncodedString = "여기에_Base64_문자열_입력"; [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String(..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 C-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/651) C-2 문제는 공격자가 자격증명을 덤프한 뒤 유출할 때 사용한 도구 이름과 해당 도구가 데이터를 유출하기 위해 최초 실행된 시각을 찾는것이 목표이다. 지난 B-3 문제에서 공격자가 다운받은 도구모음(p.tar) 의 압축을 풀면 공격자가 공격에 사용한 여러 도구들이 있는것을 확인했었다. 도구와 관련된 문제이니 이번에 사용한 도구도 여기 있는 tcping.exe, mimidrv.sys, mimikatz.exe, mimilib.dll, nbtscan.exe, netsess.exe, pscp.exe, rclone.exe 중 하나가 정답일 것이다. 이..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 B-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/649) C-1 문제는 공격자가 자격증명을 덤프하기 위해 사용한 도구 이름과 프리패치 로그 상에서 해당 도구가 마지막으로 실행된 시각을 찾는것이 목표이다. 지난 B-3 문제에서 공격자가 다운받은 도구모음(p.tar) 의 압축을 풀면 mimikatz.exe 가 있다는 것을 알아냈었다. mimikatz는 워낙 유명한 자격증명 덤프 도구이기 때문에 문제에서 요구하는 첫번째 정답은 바로 알아낼 수 있다. 이제 프리패치를 확인해서 mimikatz 가 언제 실행되었는지 보기만 하면 된다. 프리패치를 분석할때는 위의 WinPrefetchView 라는 도구를 사용한..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 B-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/647) B-3 문제는 공격자가 악성 행위를 위해 다운로드 받는 도구 모음(tar)의 sha1 해시값을 구하는 것이 목표이다. 문제 해결에는 Sysmon 로그를 이용했다. 윈도우 키 + r 을 눌러 실행창을 연 후 eventvwr 를 입력해 이벤트 뷰어를 열어봤다. 이벤트 뷰어 창에서 응용 프로그램 및 서비스 로그 - Microsoft - Windows 를 따라가면 Sysmon 이라는 로그가 보인다. Sysmon 로그는 마이크로소프트에서 제공하는 Sysinteranls suite 에 포함된 도구로 아주 강력한 윈도우 이벤트 로깅 기능을 제공한다. 기본..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 B-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/644) B-2 문제는 악성코드를 다운받는 공격자 서버의 종료와 버전을 알아내는 것이 목표이다. 이전 문제에서 악성 스크립트가 실행되었던 시각을 프리패치의 WSCRIPT 의 Last Run Time 를 통해 확인했었다. 악성코드를 다운받은것은 이 시간 이후일 것이기 때문에 시간을 기준으로 잡고 분석을 진행했다. 제공된 Win10 이미지에서 바탕화면의 Log 폴더에 들어가면 pcapng 파일들이 있는것을 볼 수 있다. 이중 첫번째 1.pcapng 파일을 통해 시간을 알 수 있다. 스크립트가 실행된 2022-10-13 18:50:40 근처의 패킷을 살펴보..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 A-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/641) B-1 문제는 공격자가 사용한 드랍퍼 악성코드를 분석하여 피해 호스트에 설치된 악성코드에 대해 파악하는 것이었다. 플래그는 초기 침투에 사용한 파일과, 해당 파일에 담겨있던 스크립트가 최초 실행된 시각을 찾아서 쓰면 된다. 지난 문제에서 Sysmon View 도구를 이용해 Sysmon 로그를 분석했을 때, HOffice2022_Viewer.exe 파일로부터 io_.vbs 파일이 생성되었다는 것을 알 수 있었다. 따라서 초기 침투에 사용된 파일은 HOffice2022_Viewer.exe 이고, 이 파일에 담겨있던 스크립트가 io_.vbs 인데 ..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 A-1 문제는 주어진 침해사고 이미지를 분석하여 공격자가 유포한 악성코드를 판별하는것이 목표였다. 이번 문제는 qual_prob_vm_win10.vmx 이미지를 이용해 해결하면 된다. 이미지를 실행시켜 보면 그냥 평범한 win10 처럼 보인다. 무슨일이 일어났는지 확인하기 위해 윈도우 키 + r 을 눌러 실행창을 연 후 eventvwr 를 입력해 이벤트 뷰어를 열어봤다. 이벤트 뷰어 창에서 응용 프로그램 및 서비스 로그 - Microsoft - Windows 를 따라가면 Sysmon 이라는 로그가 보인다. Sysmon 로그는 마이크로소프트에서 제공하는 Sysinteranls suite 에 포함된 도구로 아주 강력한 윈도우 이벤트 로깅 기능을 제공한다. 기..

247CTF에서 제공하는 네트워크 패킷 분석과 관련된 문제 기존에 블로그에서 다뤘던 문제 유형과 크게 다르지 않은 쉬운 문제이다. (https://hackingstudypad.tistory.com/495) 문제에서 주어지는 것은 error_reporting.pcap 파일이다. 해당 파일을 Wireshark 로 열어볼 수 있는데 열어보면 맨 위에 하나만 ICMP request 패킷이고 나머지는 ICMP reply 패킷인 것을 볼 수 있다. reply 패킷에 전송될 데이터가 숨겨져 있는 느낌이다. 두번째 패킷을 선택해 data.data 영역을 보면 ff d8 ff e0 로 시작하는것을 볼 수 있다. FF D8 FF E0 로 시작하는것은 JPG 파일의 특징이다. 이런걸 파일 시그니처 라고 한다. JPG 파일을..

2021 화이트햇 콘테스트 본선에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 이번 문제는 S2_WIN_Viction.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 윈도우 시스템을 이미징한 것이다. H-1 문제는 이전 G-2에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/634) H-1 공격 당시에 공격자가 사용했던 도메인 이름은 무엇인가? H-1 문제는 공격 당시 공격자가 사용했던 도메인 이름을 찾는것이 목표이다. 이번 문제의 플래그는 C:\Logs 폴더의 2.pcapng 를 분석해서 지난 G-1 문제에서 3.36..