Blog Content

판교 테크노밸리 K기업에서 기밀유출 사건이 발생했다. 현재 용의자의 시스템을 조사하는 중이다. 용의자의 인터넷 사용 패턴으로 용의자의 관심사를 파악하고자 한다.용의자가 가장 많이 접근했던 사이트의 URL(http://aaa.bbb.cccc/)과 해당 URL에 마지막으로 접근한 시간(UTC+09:00)을 알아내시오. 문제를 보면 용의자의 인터넷 사용 패턴을 조사해서 가장 많이 접근했던 사이트와 마지막 접근시간을 알아내는 문제이다.문제해결을 위해 용의자가 어떤 브라우저를 사용했는지와 그 해당 브라우저에 맞는 웹히스토리 파싱도구를 사용해서 파악해보자. 문제 풀이에 들어가기에 앞서 브라우저의 정보들을 살펴보자.임시 인터넷 파일쿠키 정보히스토리 정보캐쉬 정보세션 정보자동 완성 정보 위와 같은 정보들이 브라우저(I..

크레센도 그룹의 보안담당자 A씨는 최근 사내 기밀 문서 유출이의심되는 용의자 D씨의 컴퓨터를 확보했다. 그러나 이미 해당 PC에서 기밀 문서는 삭제 것으로 보인다. 주어진 파일로부터 다음의 정보를 획득하시오:1. 기밀 문서로 추정되는 삭제된 파일 이름2. 해당 파일의 삭제 추정 시간 답 포맷 : [1번 정답]_[2번 정답]Ex: Confidential.docx_2016-01-22 17:22:11문제 파일을 다운받으면 MFT 파일이 있다. $MFT 파일은 NTFS 내에 모든 파일이나 디렉터리 메타 정보를 담고 있고 삭제한 파일에 대한 정보도 담고 있다. 분석을 위해 $MFT파일구조를 분석해주는 도구 analyzeMFT를 사용하면 된다. [그림 1] analyzeMFT사용 방법은 [그림 1]과 같다. cmd..

『2020년 10월 1일날씨 : 맑음국군의 날이다. 옛날부터 별로 큰 감흥을 느끼는 날은 아니다. 오늘도 매년 돌아오는 여느 국군의 날처럼 싱겁게 지나가는 듯 했다. 그런데 오늘 컴퓨터 선생님께서 내 주신 수행평가가 마음에 걸린다. 국군의 날을 맞아 특별히 제작된 숙제라고 하셨다. 과제의 내용은 ‘난중일기에 숨겨진 메시지를 찾아오라’는 것이었다. 문제를 푼 사람에게는 어마무시한 상품이 주어진다고 말씀도 덧붙이셨다. 어떻게 숙제를 해결해야할 지 막막하다. 일단 최근에 배운 데이터 은닉 기법을 복습한 후에, 차근차근 문제 파일을 분석해보아야겠다.오늘의 일기 끝!』 컴퓨터 선생님께서 내 주신 과제를 해결하고 Flag를 알아내시오![그림 1] diary문제를 다운받고 diary.exe를 실행하면 압축파일이 풀리..

크레센도 그룹의 보안담당자 A 씨는 최근 퇴사자의 PC를 분석하던 중, 보안 정책 상 접근이 허용되지 않은 부서의 IP 로부터 접속 흔적을 발견했다. 해당 흔적에 대한 추가 분석을 수행하시오.1. 첫 번째 원격 로그인 성립 시점 2. 원격 접속 시 사용한 퇴사자 PC의 로컬 계정 이름 3. 원격으로 접속한 비 인가 부서의 IP 주소1번문항 시점은 YYYY-MM-DD hh:mm:ss (UTC+9 24hour) 포맷임 답 포맷: [1번 답]_[2번 답]_[3번 답] Ex: 2015-01-28 11:16:33_CRE_10.0.0.123 문제지문을 보면 1번 문제와는 다르게 원격 로그인과 관련된 이벤트를 찾아 각 문항의 정답을 찾으면 된다. 첨부된 evtx파일을 열어보자. [그림 1] EVT_002.evtx e..

크레센도 그룹의 보안담당자 P씨는 사내 보안 정기 점검 중 내부 네트워크의 도메인 컨트롤러가 침해당했음을 확인했다. 해당 머신의 Security 이벤트 로그를 통해 아래와 같은 정보를 확인하시오. 1. 가장 먼저 생성된 “일반” 사용자 계정의 이름 2. 해당 일반 사용자 계정(1번 문항)의 생성 시점 3. 해당 일반 사용자 계정(1번 문항)이 SID History Injection 공격을 성공한 시점2,3번 문항의 시점은 YYYY-MM-DD hh:mm:ss (UTC+9 24hour) 포맷임. 답 포맷 : [1번 답]_[2번 답]_[3번 답] Ex : CRE_2015-01-28 11:16:33_2015-02-14 22:11:33문제 지문은 위와 같다. etvx 파일이 첨부되어있고 해당 파일에서 이벤트 로그..

TitleWho's Notebook? DescriptionKorean내친구 A는 어느날 출근길에 누군가 잃어버린 것 같은 노트북을 발견한다.A는 이 노트북을 주인에게 찾아주고 싶지만 찾을 방법을 몰라서 포렌서인 나에게 노트북을 맡기게된다.이 노트북의 주인을 찾아주자. 인증키 형식 : 출발지_거쳐가는곳(1곳)_최종도착지인증키는 모두 대문자로, 띄어쓰기무시예) PLACE1_PLACE2_PLACE3 [그림 1]문제를 다운받으면 Notebook 파일명을 가진 파일이 받아진다. 얼핏봐서는 어떠한 파일인지 알 수 없으니 Winhex로 열어보았다. [그림 2]Winhex로 파일을 열면 ADSEGMETEDFILE 이라고 한다. 어떠한 파일인지 알아보기 위해 구글링해보니 Access Data에서 지원하는 File For..