Blog Content

이벤트예약 웹사이트를 운영하고 있는 "깜짝이야"사의 관리자 앞으로 한통의 협박 메일이 도착했다. 당장 10억을 입금하지 않으면, 확보한 자사의 웹페이지 소스코드를 모두 공개할 것이며, 추가적인 위협을 가하겠다는 내용이다. 관리자는 포렌식 전문가인 당신에게 침해사고 분석을 의뢰하였다. 침해된 시스템에 남겨진 흔적과 각종 로그 파일을 분석하여 다음 사항을 밝혀내시오. A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은? Key format: (yyyy-MM-dd_hh:mm:ss) B. 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? (10진수) KEY Format : 1234C. 리버스쉘(Reverse Shell)에 대한 공격자 주소(IP)는? KEY Format ..

크레센도 그룹의 보안담당자 A씨는 최근 사내 기밀 문서 유출이의심되는 용의자 D씨의 컴퓨터를 확보했다. 그러나 이미 해당 PC에서 기밀 문서는 삭제 것으로 보인다. 주어진 파일로부터 다음의 정보를 획득하시오:1. 기밀 문서로 추정되는 삭제된 파일 이름2. 해당 파일의 삭제 추정 시간 답 포맷 : [1번 정답]_[2번 정답]Ex: Confidential.docx_2016-01-22 17:22:11문제 파일을 다운받으면 MFT 파일이 있다. $MFT 파일은 NTFS 내에 모든 파일이나 디렉터리 메타 정보를 담고 있고 삭제한 파일에 대한 정보도 담고 있다. 분석을 위해 $MFT파일구조를 분석해주는 도구 analyzeMFT를 사용하면 된다. [그림 1] analyzeMFT사용 방법은 [그림 1]과 같다. cmd..

주어진 파일 시스템 로그를 분석하여 시스템에서 “Everything-1.3.4.686.x86.Multilingual-Setup.exe”가 생성된 시각을 찾으시오해당 시스템은 UTC+9 시간대를 사용한다.(YYYY-MM-DD HH:MM:SS 형식으로 입력, UTC +09:00 기준, 띄어쓰기 준수) [그림 1] LOG 문제를 받아 압축을 풀면 파일시스템 로그 3개를 확인할 수 있다. 안보일 경우 숨김폴더 옵션을 해제하거나 FTK Imager로 확인하면 된다. $J 응용 프로그램의 특정파일 변경 여부 확인 $LogFile 작업중이던 파일 복구를 위해 사용 $MFT 모든 파일 및 디렉터리의 메타데이터를 담고 있음[표 1] 파일시스템 로그각 파일시스템 로그의 특징은 [표 1]과 같다. 각 로그의 상세한 정보는 ..