Blog Content

  1. Home

    티스토리 뷰

    2012 Secuwave F100

    Posted by H4NU on 2018. 4. 13. 15:44 in forensic /

    이벤트예약 웹사이트를 운영하고 있는 "깜짝이야"사의 관리자 앞으로 한통의 협박 메일이 도착했다. 당장 10억을 입금하지 않으면, 확보한 자사의 웹페이지 소스코드를 모두 공개할 것이며, 추가적인 위협을 가하겠다는 내용이다. 관리자는 포렌식 전문가인 당신에게 침해사고 분석을 의뢰하였다. 침해된 시스템에 남겨진 흔적과 각종 로그 파일을 분석하여 다음 사항을 밝혀내시오.

    A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은?
    Key format: (yyyy-MM-dd_hh:mm:ss)

    B. 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? (10진수)
    KEY Format : 1234

    C. 리버스쉘(Reverse Shell)에 대한 공격자 주소(IP)는?
    KEY Format : 123.456.789.123

    해당 문제는 윈도우 10 ubuntu bash쉘에서 풀이를 진행하였습니다.

    [그림 1] 2012_Secuwave_F100

    문제파일에 압축을 풀면 [그림 1]과 같이 디렉터리들을 확인할 수 있다. 각 디렉터리 안에는 로그파일이 있다.


     accounts

      group, history, last_R, lastlog, passwd, shadow

     file

     fls_r_m, mactime_b

     network

    arp, lsof, netstat_an

     osinfo

     date, df_k, hostname, ifconfig_a, localtime, timezone, uname_a

     process

    crontab, ipcs_u, lsmod, ps_eaf, pstree_a 

     weblog

    access.log

    [표 1] 각 디렉터리안에 있는 흔적 및 로그

    시스템에 남겨진 흔적과 로그파일에서 먼저 접해본 로그는 history이다. 사용자가 사용한 명령어의 목록이 있기 때문에

    어떠한 행위를 한지 유추해볼 수 있다.


    [그림 2] history

    history 기록들을 살펴보면 APM설치 기록과 권한,유저생성 및 sleuthkit 도구 설치 등 행위들이 나타나있다.

    웹서버와 관련된것으로 보이고 가장 의심해볼만한 것은 /var/www/upload/editor/image에 모든 권한을 다 준것이다.

    저렇게 모든권한을 가지고 있으면 공격자입장에서 해당 디렉터리 및 하위디렉터리에서 모든 작업을 다 수행할 수 있고

     /var/www/upload/editor/image에서 어떠한 행위를 한 것으로 추측된다.


    [그림 3] lsof

    lsof 파일에서 /var/www/upload/editor/image와 관련된 파일 및 프로세스를 검색한 결과 sh와 php에 관련된 기록들이 발견되었다. php는 웹게시판 등을 통하여 파일을 외부로 업로드를 할 수 있기 때문에 유출과 연관이 되어있을수도 있다. 

    정확히 어떠한 작업이 수행되었는지 확인하기위해 ps_eaf에서 프로세스 목록을 살펴보았다.


    [그림 4] ps_eaf

    ps_eaf 파일에서 검색해본 결과 reverse.php가 동작된 것을 확인하였다. 해당 파일은 reverse shell로 의심된다.

    리버스쉘을 동작시키는 PID는 5245 이다.


    [그림 5] pid 검색

    lsof 로그는 열려있는 파일에 대한 프로세스 정보를 가지고 있다. 리버스 셸을 동작시키는 pid로 검색을 해보았다.

    [그림 6] lsof - pid

    검색 결과를 확인해봤을때 IP 144.206.162.21에 웹과 연결이 된것을 확인할 수 있었다. 여기에서 공격자가 리버스 셸을 통해 공격자 IP와 연결을 성공한 것을 알 수 있다. 웹과 연결된 것으로 보아 공격자가 웹페이지 소스를 유출할때 파일을 업로드한 것으로 보인다. access.log에서 공격자가 어떠한 요청을 웹서버에 했는지 살펴보자.


    [그림 7] access.log

    /upload/editor/image 경로를 검색했을때 jpg와 cmd가 보인다. cmd.php에서 어떠한 행위가 일어난 것으로 보이지만 인코딩 된 것으로 추측되는 값이 3개 보인다. 각각 어떠한 행위가 발생한 것인지 디코드 해보자.



    [그림 8] decode

    공격자는 웹페이지 소스를 ls를 통해 확인해보고 tar -cvf 명령어로 압축한뒤 리버스 셸을 실행한 것으로 보인다.

    따라서 공격자가 소스코드를 유출한 시간은 리버스 셸을 실행시킨 시간 2012-08-25 17:26:40 이다.
































    'forensic' 카테고리의 다른 글

    2012 Codegate Forensic 100  (0) 2019.02.15
    2012 Secuwave F200  (0) 2018.04.17
    [Cresendo] MFT Problem 01  (0) 2018.04.12
    [Cresendo] NTFS Log 1  (0) 2018.04.10
    [Cresendo] 오늘은 국군의 날  (0) 2018.03.15

    Comments

Copyright © 2016 by WaaNee. All Rights Reserved.

티스토리툴바