보안맨

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 D-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/710) E-1 문제는 Lateral Movement 시에 호스트 A에서 요청한 명령이 호스트 B에서 실행되었다고 한다. 이때 호스트 B에서 명령을 수행하는 프로세스의 이름을 찾는것이 목표이다. 이번 문제부터는 이전 prob_a 이미지가 아닌 prob_b 이미지로 해결할 수 있었다. 둘 다 똑같은 Windows10 이미지인데 문제 시나오상 a가 먼저 악성코드에 감염이 되고, 그게 수평이동되어서 b도 감염이 된 컨셉이다. 프로세스이름을 찾는 것이니 prob_b 이미지에서 프리패치를 확인해 봤다. 프리패치를 분석할때는 위의 WinPrefetchView 라..

2022 화이트햇 콘테스트 본선에 출제되었던 문제 이전 A-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/689) A-3 문제는 드랍퍼가 레지스트리 키를 수정하여 악성 DLL이 로딩되도록 했는데, 이 때 레지스트리 키가 수정된 시각과 DLL이 로드된 프로세스의 이름을 찾는것이 목표이다. 지난 A-2 문제에서 HxD 에서 발견한 BASE64 인코딩된 문자열을 CyberChef(https://gchq.github.io/CyberChef/) 에서 해당 부분의 Hex 값을 가져와 디코딩 했었는데, 여기서 조금만 스크롤을 내려보면 해당 Powershell 스크립트로 어떤 레지스트리 키가 추가되는지 확인할 수 있다. netmon.dll 이 추가되는것으로 보아 이게 ..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 D-2 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/659) D-3 문제는 공격자가 피해 호스트에 접근할 때 생성한 바이너리의 이름과 프로세스가 최초로 실행된 시각을 찾는 것이 목표이다. 이번 문제는 Sysmon 로그를 활용했다. B-3 에서 Sysmon 로그 추출 및 Sysmon View 사용법에 대해 작성했었다. (https://hackingstudypad.tistory.com/649) 이전 문제에서 powershell 을 실행한 흔적을 봤었기에 파워쉘에 대한 로그를 확인했다. 파워쉘 로그를 보니 파워쉘이 실행된 후 Gnuwnkfi.exe 프로세스가 생성되고, 그 뒤에 Temp 경로에 수상한 ps1..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 C-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/651) C-2 문제는 공격자가 자격증명을 덤프한 뒤 유출할 때 사용한 도구 이름과 해당 도구가 데이터를 유출하기 위해 최초 실행된 시각을 찾는것이 목표이다. 지난 B-3 문제에서 공격자가 다운받은 도구모음(p.tar) 의 압축을 풀면 공격자가 공격에 사용한 여러 도구들이 있는것을 확인했었다. 도구와 관련된 문제이니 이번에 사용한 도구도 여기 있는 tcping.exe, mimidrv.sys, mimikatz.exe, mimilib.dll, nbtscan.exe, netsess.exe, pscp.exe, rclone.exe 중 하나가 정답일 것이다. 이..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 B-3 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/649) C-1 문제는 공격자가 자격증명을 덤프하기 위해 사용한 도구 이름과 프리패치 로그 상에서 해당 도구가 마지막으로 실행된 시각을 찾는것이 목표이다. 지난 B-3 문제에서 공격자가 다운받은 도구모음(p.tar) 의 압축을 풀면 mimikatz.exe 가 있다는 것을 알아냈었다. mimikatz는 워낙 유명한 자격증명 덤프 도구이기 때문에 문제에서 요구하는 첫번째 정답은 바로 알아낼 수 있다. 이제 프리패치를 확인해서 mimikatz 가 언제 실행되었는지 보기만 하면 된다. 프리패치를 분석할때는 위의 WinPrefetchView 라는 도구를 사용한..

2022 화이트햇 콘테스트 예선에 출제되었던 문제 이전 A-1 문제와 이어지는 문제이다. (https://hackingstudypad.tistory.com/641) B-1 문제는 공격자가 사용한 드랍퍼 악성코드를 분석하여 피해 호스트에 설치된 악성코드에 대해 파악하는 것이었다. 플래그는 초기 침투에 사용한 파일과, 해당 파일에 담겨있던 스크립트가 최초 실행된 시각을 찾아서 쓰면 된다. 지난 문제에서 Sysmon View 도구를 이용해 Sysmon 로그를 분석했을 때, HOffice2022_Viewer.exe 파일로부터 io_.vbs 파일이 생성되었다는 것을 알 수 있었다. 따라서 초기 침투에 사용된 파일은 HOffice2022_Viewer.exe 이고, 이 파일에 담겨있던 스크립트가 io_.vbs 인데 ..