Blog Content

  1. Home

    티스토리 뷰

    2012 Codegate Forensic 100

    Posted by H4NU on 2019. 2. 15. 19:59 in forensic /


    문제 확인

    In order to steal financial information of Company X, IU got a job under cover. She decided to attack CFO’s computer, and then insert malicious code to his computer in the way of social engineering. She figured out that he didn’t use to turn off his computer, when he gets off work. After he leaves the office, she obtains financial data from his computer to search EXCEL file. By checking installed application program, she can find the information in the file. She lacks the file externally. In order to remove all traces, she erases malicious code, event logs and recent file list.

    The company X has to figure out what information she stole correctly to make an appropriate measure. These are files attacked from CFO’s computer. Find the full path and size of the file which she stole. On the day, CFO left the office at 14:00. The time is based on Korea Standard Time(UTC +09:00).

    Answer: strlwr(md5(full_path|file_size)) (‘|’ is just a character)

     문제를 보면 IU가 X회사의 재정적인 정보를 가져오기위해 직장을 구했고 사회공학기법으로 악성코드를 삽입하여 CFO의 컴퓨터를 공격했다. 그녀는 EXCEL 파일을 검색했으며 이벤트로그나 최근 파일 목록 등을 모두 지웠다. X회사는 조치를 취하기 위해 CFO의 컴퓨터에서 공격받은 파일을 제공해주었으며 그녀가 훔친 파일의 full path와 file size를 찾아야한다. CFO는 회사를 14시 이후에 떠났다고 한다.

    사용 도구

     도구명

    버전 

    HxD 

    1.7.7.0

     FTK Imager

     3.4.0.1 

     010 editor

    9.0 



    문제 풀이

    [그림 1] 문제 이미지 확인

    이미지를 hex editor로 열어보면 7z으로 압축되어있다. 압축을 풀면 Users 디렉터리를 확인할 수 있다. 트리 구조로 편하게 보기 위해 FTK Imager로 분석을 진행하였다.


    [그림 2] Users 목록

    Users 목록을 보면 기본적인 All Users, Default, Default User, Public외에 proneer란 명을 가진 사용자계정 디렉터리가 보인다.

    문제 지문을 보면 Excel파일을 검색하였고 최근 파일 목록을 지웠다는 것으로 보아 원본 파일은 삭제 되었을 확률이 높다.

    everything을 사용하여 찾아봐도 xls,xlsx 확장자를 가진 파일은 존재하지 않았고 문서 파일 실행 흔적을 확인해볼 수 있는 아티팩트인 바로가기 파일을 살펴보았다.

    C:\Users\사용자명\AppData\Roaming\Microsoft\Office\Recent

    해당 경로에 가면 Office 문서 실행흔적들이 남아있다. 


    [그림 3] Office lnk 파일 목록

    LNK 목록들을 보면 의심스러운 문서 [Top-Secret]_2011_Financial_deals 파일이 눈에 띈다.  해당파일을 추출하고 010 editor LNK template을 사용하여 full path와 file size를 확인하였다.


    [그림 4] 010 editor lnk template

    파일사이즈는 9296byte, full path는 C:\INSIGHT\Accounting\Confidential\[Top-Secret]_2011_Financial_deals.xlsx 이다.

    python을 이용하여 답 포맷형식에 맞춰 바꿔주면 d3403b2653dbc16bbe1cfce53a417ab1 이다.



    저작자표시

    'forensic' 카테고리의 다른 글

    2012 Secuwave F200  (0) 2018.04.17
    2012 Secuwave F100  (0) 2018.04.13
    [Cresendo] MFT Problem 01  (0) 2018.04.12
    [Cresendo] NTFS Log 1  (0) 2018.04.10
    [Cresendo] 오늘은 국군의 날  (0) 2018.03.15

    Comments

Copyright © 2016 by WaaNee. All Rights Reserved.

티스토리툴바