보안맨

[E-5] 공격자가 가장 첫번째로 유출한 파일의 SHA1 해시는? 2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-4 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/718) 정신을 어디 뒀었는지 이번 문제화면도 역시 캡쳐를 못했다.. 넘 아쉬운 부분.. Sysmon View 도구를 이용해 피해 윈도우 이미지의 sysmon 로그를 분석하다보면 powershell 실행기록 중 PID 가 4564인 로그를 찾을 수 있다. BASE64 인코딩된 명령어가 실행되었는데 $base64EncodedString = "여기에_Base64_문자열_입력"; [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBa..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 E-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/714) E-3문제는 악성코드가 DLL Injection을 수행하는데 이때 Injection의 대상이 되는 정상 프로세스의 이름과 최초로 Attach 한 PPID가 무엇인지 알아내는것이 목표이다. 지난 문제에서 prob_b 이미지 내에 있는 FXSSVC.dll 악성코드를 식별했었다. 해당 악성코드는 파워쉘 코드를 통해 http://15.165.18.103/api 로부터 다운받은 것이었다. IDA 도구를 이용해 FXSSVC.dll 파일을 열어 분석해보면 DLL Injection 대상 프로세스는 explorer.exe 임을 알아낼 수 있다. sysmon ..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 F-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/669) F-2 문제는 공격자가 HTTP 프로토콜을 이용하여 최초로 데이터를 유출한 시각과 이 때 명령프롬포트의 PID 를 찾는것이 목표이다. 이전 문제에서 Sysmon 로그를 분석해 rundll32.exe 가 실행되었다는것을 알 수 있었다. PID 가 8248 이라는 것을 기억해둔다. 그리고 계속 따라들어가면 된다. rundll32.exe 가 cmd.exe 를 실행시킨 흔적을 찾을 수 있다. 위 로그를 보면 PPID가 방금전 rundll32.exe 의 PID 였던 8248 인것을 볼 수 있다. 마찬가지로 이번 PID는 3820 이다. Command ..

[2022 화이트햇 콘테 2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 E-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/665) E-3 문제는 피해 호스트에 설치된 악성코드 중 시스템 부팅 시 피해 시스템의 파일을 유출하는 악성코드가 최초로 실행된 시각과, 당시 PID를 찾는것이 목표이다. 윈도우 이미지를 켜보면 위와 같이 cmd 창이 갑자기 켜지면서 이미지 내에 있는 파일 목록이 어딘가로 유출되고있는 듯한 장면이 연출된다. SysinternalsSuite의 Autoruns 도구를 이용해서 자동실행 관련 설정들을 확인해 보면 시스템 부팅과 관련한 \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 D-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/661) E-1 문제는 공격자가 기존 프로그램의 구성 요소를 삭제하고 악성코드를 설치한 시각과 공격자가 삭제한 프로그램 경로를 찾는것이 목표이다. 이번 문제는 Sysmon 로그를 통해 초기분석을 했다. B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다. (https://hackingstudypad.tistory.com/649) 지난 D-3 문제에서 Gnuwnkfi.exe 를 실행시킨 파워쉘 로그가 찍힌 직후의 로그를 보면 또다시 한번 powershell 이 실행되고, ps1 파일이 생성되는것을 sysmon 로그를 통..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 D-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/659) D-3 문제는 공격자가 피해 호스트에 접근할 때 생성한 바이너리의 이름과 프로세스가 최초로 실행된 시각을 찾는 것이 목표이다. 이번 문제는 Sysmon 로그를 활용했다. B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다. (https://hackingstudypad.tistory.com/649) 이전 문제에서 powershell 을 실행한 흔적을 봤었기에 파워쉘에 대한 로그를 확인했다. 파워쉘 로그를 보니 파워쉘이 실행된 후 Gnuwnkfi.exe 프로세스가 생성되고, 그 뒤에 Temp 경로에 수상한 ps1..