Blog Content

이벤트예약 웹사이트를 운영하고 있는 "깜짝이야"사의 관리자 앞으로 한통의 협박 메일이 도착했다. 당장 10억을 입금하지 않으면, 확보한 자사의 웹페이지 소스코드를 모두 공개할 것이며, 추가적인 위협을 가하겠다는 내용이다. 관리자는 포렌식 전문가인 당신에게 침해사고 분석을 의뢰하였다. 침해된 시스템에 남겨진 흔적과 각종 로그 파일을 분석하여 다음 사항을 밝혀내시오. A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은? Key format: (yyyy-MM-dd_hh:mm:ss) B. 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? (10진수) KEY Format : 1234C. 리버스쉘(Reverse Shell)에 대한 공격자 주소(IP)는? KEY Format ..

크레센도 그룹의 보안담당자 A씨는 최근 사내 기밀 문서 유출이의심되는 용의자 D씨의 컴퓨터를 확보했다. 그러나 이미 해당 PC에서 기밀 문서는 삭제 것으로 보인다. 주어진 파일로부터 다음의 정보를 획득하시오:1. 기밀 문서로 추정되는 삭제된 파일 이름2. 해당 파일의 삭제 추정 시간 답 포맷 : [1번 정답]_[2번 정답]Ex: Confidential.docx_2016-01-22 17:22:11문제 파일을 다운받으면 MFT 파일이 있다. $MFT 파일은 NTFS 내에 모든 파일이나 디렉터리 메타 정보를 담고 있고 삭제한 파일에 대한 정보도 담고 있다. 분석을 위해 $MFT파일구조를 분석해주는 도구 analyzeMFT를 사용하면 된다. [그림 1] analyzeMFT사용 방법은 [그림 1]과 같다. cmd..

주어진 파일 시스템 로그를 분석하여 시스템에서 “Everything-1.3.4.686.x86.Multilingual-Setup.exe”가 생성된 시각을 찾으시오해당 시스템은 UTC+9 시간대를 사용한다.(YYYY-MM-DD HH:MM:SS 형식으로 입력, UTC +09:00 기준, 띄어쓰기 준수) [그림 1] LOG 문제를 받아 압축을 풀면 파일시스템 로그 3개를 확인할 수 있다. 안보일 경우 숨김폴더 옵션을 해제하거나 FTK Imager로 확인하면 된다. $J 응용 프로그램의 특정파일 변경 여부 확인 $LogFile 작업중이던 파일 복구를 위해 사용 $MFT 모든 파일 및 디렉터리의 메타데이터를 담고 있음[표 1] 파일시스템 로그각 파일시스템 로그의 특징은 [표 1]과 같다. 각 로그의 상세한 정보는 ..

_크레센도 그룹의 보안담당자 A 씨는 내부 정기 감사를 통해 한직원의 컴퓨터에서 인가되지 않은 클라우드 공유 프로그램의 설치 흔적을 발견하였다. 현재 추가 분석을 위해 해당 직원 컴퓨터에서 확보한 이벤트 로그 파일 5개를 전달받은 상태이다. 주어진 파일에서 다음과 같은 정보를 확보하시오:1. 설치된 “비인가 프로그램”의 실행파일 이름2. 1번 프로그램의 설치 완료 시점3. 1번 프로그램이 방화벽 예외에 등록된 시점2,3번문항 시점은 YYYY-MM-DD hh:mm:ss (UTC+9 24hour) 포맷임답 포맷: [1번 답]_[2번 답]_[3번 답]Ex: PPAP_2015-01-28 11:16:33_2015-01-28 17:33:22문제 지문을 보면 인가되지 않는 클라우드 공유 프로그램의 흔적에서 각 항목별..

크레센도 그룹의 보안담당자 A 씨는 최근 퇴사자의 PC를 분석하던 중, 보안 정책 상 접근이 허용되지 않은 부서의 IP 로부터 접속 흔적을 발견했다. 해당 흔적에 대한 추가 분석을 수행하시오.1. 첫 번째 원격 로그인 성립 시점 2. 원격 접속 시 사용한 퇴사자 PC의 로컬 계정 이름 3. 원격으로 접속한 비 인가 부서의 IP 주소1번문항 시점은 YYYY-MM-DD hh:mm:ss (UTC+9 24hour) 포맷임 답 포맷: [1번 답]_[2번 답]_[3번 답] Ex: 2015-01-28 11:16:33_CRE_10.0.0.123 문제지문을 보면 1번 문제와는 다르게 원격 로그인과 관련된 이벤트를 찾아 각 문항의 정답을 찾으면 된다. 첨부된 evtx파일을 열어보자. [그림 1] EVT_002.evtx e..

크레센도 그룹의 보안담당자 P씨는 사내 보안 정기 점검 중 내부 네트워크의 도메인 컨트롤러가 침해당했음을 확인했다. 해당 머신의 Security 이벤트 로그를 통해 아래와 같은 정보를 확인하시오. 1. 가장 먼저 생성된 “일반” 사용자 계정의 이름 2. 해당 일반 사용자 계정(1번 문항)의 생성 시점 3. 해당 일반 사용자 계정(1번 문항)이 SID History Injection 공격을 성공한 시점2,3번 문항의 시점은 YYYY-MM-DD hh:mm:ss (UTC+9 24hour) 포맷임. 답 포맷 : [1번 답]_[2번 답]_[3번 답] Ex : CRE_2015-01-28 11:16:33_2015-02-14 22:11:33문제 지문은 위와 같다. etvx 파일이 첨부되어있고 해당 파일에서 이벤트 로그..

TitleFile Deleted DescriptionKorean피시방에서 아동 청소년 보호법에 위배되는 파일을 소지한 기록을 발견했다.아래의 형식에 맞춰 증거를 수집해라. 시간은 GMT+9 입니다. lowercase(md5(원본 경로_만들어진 시간_마지막 실행 된 시간_쓰인 시간_볼륨 시리얼))ex)lowercase(md5(C:\XCZ\key.txt_20121021160000_20131022000000_20131022000000_AAAA-BBBB)) [그림 1]문제를 다운받고 압축을 풀고 unl 디렉터리를 보면 여러 하위 디렉터리들이 보인다. FTK Imager로 파일 소지 기록의 흔적을 찾아보자. [그림2]이러한 문제는 디렉터리를 하나씩 살펴보거나 사용자 데이터 폴더 및 임시폴더 등에 숨기는 경우가 많..

TitleWho's Notebook? DescriptionKorean내친구 A는 어느날 출근길에 누군가 잃어버린 것 같은 노트북을 발견한다.A는 이 노트북을 주인에게 찾아주고 싶지만 찾을 방법을 몰라서 포렌서인 나에게 노트북을 맡기게된다.이 노트북의 주인을 찾아주자. 인증키 형식 : 출발지_거쳐가는곳(1곳)_최종도착지인증키는 모두 대문자로, 띄어쓰기무시예) PLACE1_PLACE2_PLACE3 [그림 1]문제를 다운받으면 Notebook 파일명을 가진 파일이 받아진다. 얼핏봐서는 어떠한 파일인지 알 수 없으니 Winhex로 열어보았다. [그림 2]Winhex로 파일을 열면 ADSEGMETEDFILE 이라고 한다. 어떠한 파일인지 알아보기 위해 구글링해보니 Access Data에서 지원하는 File For..

Title Password Recover... DescriptionHi, I'M ZZANGHACKER.I Lost My Password in XCZ.KR T.THelp Me!! Download Here▣ 문제 개요문제 지문을 살펴보면 짱해커가 XCZ.KR사이트의 패스워드를 잊어버린것같다. 네트워크 문제인 것으로 보아 패킷을 분석하여 해당 사이트의 로그인과 관련된 패킷을 찾아내면 문제해결의 단서가 보일 것 같다. [그림 1-1]문제 파일을 다운받으면 pcap 확장자를 가진 파일이며 와이어 샤크를 통해 패킷을 분석해보자. [그림 1-2]wireshark로 파일을 열어보면 수많은 패킷들이 보이며 패스워드와 관련된 로그인 패킷을 찾기위해 POST방식의 패킷들을 추려보았다. [그림 1-3]POST방식의 패킷들을 ..

Title Network Recovery! DescriptionKey Format = lowercase(md5("key"))Download Here▣ 문제 개요문제를 보면 네트워크 복구 라는 타이틀이 주어져있고 키포맷을 살펴보면 키값을 구한 뒤 md5로 인코딩을 진행한 후 소문자로 바꿔주면 문제가 해결될 것으로 추측된다. [그림 1-1]문제를 다운받으면 network_recover 파일이 생성되고 확장자가 명시되어있지않으니 winhex로 열어보자. [그림 1-2]Dumpcap은 와이어샤크 패킷파일(pcap)이다. 해당 파일을 wireshark로 열어보니 약 1000개쯤 패킷파일을 확인할 수 있다. [그림 1-3]패킷을 살펴보는중 문제와 연관되있을거라 생각되는 패킷을 하나 발견하였다. 상세하게 확인해보기 ..