크레센도 그룹의 보안담당자 P씨는 사내 보안 정기 점검 중 내부 네트워크의 도메인 컨트롤러가 침해당했음을 확인했다. 해당 머신의 Security 이벤트 로그를 통해 아래와 같은 정보를 확인하시오. 1. 가장 먼저 생성된 “일반” 사용자 계정의 이름 2,3번 문항의 시점은 |
문제 지문은 위와 같다. etvx 파일이 첨부되어있고 해당 파일에서 이벤트 로그를 분석하여 각 문항별로 정답을 구해
인증 하는 방식인 것 같다. evtx 파일을 열어보았다.
[그림 1] EVT_001
EVTX파일을 열어보면 이벤트 뷰어에 위와 같이 2,910가지의 이벤트가 발생한 것을 확인할 수 있다.
문제를 풀기 위한 핵심 이벤트만 확인하면 되기 때문에 필터기능을 이용하여 필요한 이벤트ID만 추출해보자
4720 |
사용자 계정 생성 |
[표 1] 사용자 계정 생성 이벤트 ID
1번 문항에 최초로 생성된 "일반"사용자 계정을 확인하기위해 사용자 계정 생성할때 발생하는 이벤트인
ID 4720을 필터링하여 찾아보았다.
[그림 2] ID 4720 filtering
필터링을 적용시켜보면 사용자 계정 생성때 발생한 세가지 이벤트를 확인해볼 수 있다. 1번 문제에서 요구하는 가장
먼저 생성된 이벤트는 2016-10-12 오후 9:50:37에 생성되었지만 해당 이벤트는 RID를 502를 가지고 있다.
검색해보니 키배포센터에 사용되는 번호라고 한다. 다음 시간대의 로그를 살펴보자
[표 2] 보안식별자 (SID)
[표 3] 자주 사용되는 보안 식별자
[그림 3] 2016-10-14 오전 07:13:56 로그
2016-10-14 오전 07:13:56에 생성된 로그를 보면 RID가 1104로 되어있다. RID가 1000번 이상일땐 일반 사용자 계정을
뜻하기 때문에 첫번째 문항의 정답과 두번째 문항의 정답이 구해졌다. JDazz_2016-10-14 07:13:56
3번째 문항은 SID History Injection 공격을 성공한 시점을 찾아봐야한다.
SID History Injection공격은 사용자의 SID를 변환하는 공격이다.
만약 공격자가 SID를 변경하여 공격에 성공하였다면 사용자 계정 변경 정보에 남을 것이다.
사용자 계정 변경 정보를 담고있는 ID 4738로 필터링하여 검색해보았다.
[그림 4] SID History Injection 발생 로그
필터로 검색해보면 18개의 이벤트를 확인해볼 수 있다. SID변경 기록을 찾기위해 로그 하나하나씩 살펴보면
2016-10-14 22:00:04 시점에서 SID 변경이 기록 되어있다.
1. 가장 먼저 생성된 “일반” 사용자 계정의 이름
2. 해당 일반 사용자 계정(1번 문항)의 생성 시점
3. 해당 일반 사용자 계정(1번 문항)이 SID History Injection 공격을 성공한 시점
세가지 문항의 답을 답 포맷형식으로 맞춰보면 JDazz_2016-10-14 07:13:56_2016-10-14 22:00:04 이 나오게된다.
'forensic' 카테고리의 다른 글
[Cresendo] Event Log Problem 03 (0) | 2018.03.02 |
---|---|
[Cresendo] Event Log Problem 02 (0) | 2018.02.28 |
xcz.kr 36번 문제풀이 (0) | 2017.11.14 |
xcz.kr 22번 문제풀이 (0) | 2017.11.13 |
xcz.kr 17번문제 풀이 (0) | 2017.09.13 |
Comments