반응형

sysmon 8

[2022 화이트햇 콘테스트 본선] B-2 - 포렌식 / Sysmon View

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 B-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/693) B-2 문제는 DLL 형태로 정상 프로세스에 기생하는 악성코드가 네트워크 정보를 수집하기 위해 powershell 코드를 최초 실행한 시각과 powershell의 PID를 특정하는것이 목표이다. 이번문제는 다시한면 sysmon 로그를 이용해 분석한다. Sysmon 로그 분석을 아주 쉽게 하기위한 Sysmon View 라는 도구가 있다. File - Import Sysmon Event logs 버튼을 눌러 아까 추출한 xml 파일을 지정해주면 된다. import 된 sysmon 로그에서 powershell 실행흔적을 검색해서 분석해본다. 202..

CTF/포렌식 2024.01.13

[2022 화이트햇 콘테스트 본선] A-1 - 포렌식 / Sysmon View

2022 화이트햇 콘테스트 본선에 출제되었던 문제 A-1 문제는 주어진 침해사고 이미지를 분석하여 드랍퍼가 최초 실행된 시각과 PID를 특정하는 것이 목표이다. 본선에서는 prob_a, prob_b 두개의 win10 침해사고 이미지가 주어졌고 이번 문제는 prob_a 문제를 이용해 해결할 수 있었다. 실행시켜 보면 그냥 평범한 win10 처럼 보인다. 문제에서 정상 프로그램으로 위장한 악성 프로그램이라고 해서 뭔가 사용자를 속여 다운로드 받게끔 했을것이라 생각했다. 실제로 다운로드 폴더에 들어가보면 뭔가 정상 파일처럼 보이는 설치파일들이 들어있는것을 확인할 수 있다. 정확히 무슨일이 일어났는지 확인하기 위해 윈도우 키 + r 을 눌러 실행창을 연 후 eventvwr 를 입력해 이벤트 뷰어를 열어봤다. 이..

CTF/포렌식 2023.12.20

[2022 화이트햇 콘테스트] A-1 - 포렌식 / Sysmon View

2022 화이트햇 콘테스트 예선에 출제되었던 문제 A-1 문제는 주어진 침해사고 이미지를 분석하여 공격자가 유포한 악성코드를 판별하는것이 목표였다. 이번 문제는 qual_prob_vm_win10.vmx 이미지를 이용해 해결하면 된다. 이미지를 실행시켜 보면 그냥 평범한 win10 처럼 보인다. 무슨일이 일어났는지 확인하기 위해 윈도우 키 + r 을 눌러 실행창을 연 후 eventvwr 를 입력해 이벤트 뷰어를 열어봤다. 이벤트 뷰어 창에서 응용 프로그램 및 서비스 로그 - Microsoft - Windows 를 따라가면 Sysmon 이라는 로그가 보인다. Sysmon 로그는 마이크로소프트에서 제공하는 Sysinteranls suite 에 포함된 도구로 아주 강력한 윈도우 이벤트 로깅 기능을 제공한다. 기..

CTF/포렌식 2023.09.27

[2021 화이트햇 콘테스트 본선] E-2 - 포렌식

2021 화이트햇 콘테스트 본선에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 이번 문제부터는 S2_WIN_Viction.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 윈도우 시스템을 이미징한 것이다. E-2 문제는 이전 E-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/624) E-2 공격자가 변조한 레지스트리 키가 실행하는 바이너리의 메타데이터에 숨겨져 있는 플래그를 찾아내어라 이번 문제는 공격자가 변조한 레지스트리 키가 실행하는 바이너리의 메타데이터에 숨겨진 플래그를 찾는 것이다. 지난 문제에서 Sysmon..

CTF/포렌식 2023.09.12

[2021 화이트햇 콘테스트 본선] D-2 - 포렌식 / Sysmon View

2021 화이트햇 콘테스트 본선에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 이번 문제부터는 S2_WIN_Viction.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 윈도우 시스템을 이미징한 것이다. D-2 문제는 이전 D-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/620) D-2 공격자가 변조한 레지스트리 키는 무엇인가? 이번엔 공격자가 변조한 레지스트리 키를 찾는것이 문제이다. 이번 문제는 예선에서 했던것 처럼 Sysmon 로그를 이용해 확인했다. 윈도우 키 + r 을 눌러 실행창을 연 후 eventvw..

CTF/포렌식 2023.09.08

[2021CCE] Special Event - 포렌식

2021CCE에 출제된 포렌식 문제 이번에도 기본에 충실하라는 내용을 담고 있다. 시스템 이벤트 로그 분석을 하는 문제이다. 문제에서 주어지는 log.evtx 파일은 Sysmon 이벤트 로그를 담고 있다. https://hackingstudypad.tistory.com/571 [2021 화이트햇 콘테스트] B-2 - 포렌식 / Sysmon View 2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 hackingstudypad.tistory.com Sysmon 이벤트 로그에 대해서는 지난 화이트햇 콘테스트 문제 풀이에서 많이 다뤄서 넘어간다. 로그는 많이 없어서 조..

CTF/포렌식 2023.08.22

[2021 화이트햇 콘테스트] G-1 - 포렌식 / Sysmon View / Powershell

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. G-1 희생자 PC에 명령 및 제어 목적으로 통신이 맺어진 시각은 언제이며 이 때 공격자 아이피와 희생자의 Local Port는 무엇인가? G-1 문제는 희생자 PC에 통신이 맺어진 시각, 그리고 그때의 공격자 IP 주소와 희생자의 Port를 찾는 것이다. 이번 문제를 풀때는 B-2 문제와 같이 Sysmon 로그를 사용했다. (https://ha..

CTF/포렌식 2023.08.02

[2021 화이트햇 콘테스트] B-2 - 포렌식 / Sysmon View

2021 화이트햇 콘테스트 예선전에 나왔던 문제 시간이 꽤 지났지만 하나씩 문제풀이를 올려본다. CTFD 플랫폼을 이용해 진행이 되었는데, 문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다. 거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다. 해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다. B-2 문제는 이전 B-1에서 계속 이어지는 문제이다. (https://hackingstudypad.tistory.com/569) B-1 문제에서는 A-3에서 발견한 3분기-취약점-조치권고.hwp 파일을 분석했었다. B-2 드랍퍼가 취약점을 최초 발현한 시각과 취약점의 원인이 되는 바이너리의 파일명은 무엇인가? B-1 문제에서 hwp 내에 있는 ..

CTF/포렌식 2023.07.19
반응형