비전공자의 포렌식일기

문제를 보겠습니다. 재부팅 후에도 지속성을 유지하기 위해 사용하고 있는 레지스트리는 Microsoft\Windows\CurrentVersion\Run의 경로에 저장되어 있음을 파악할 수 있었습니다. 그럼 바로 printkey 플러그인을 통해서 찾아 보겠습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 printkey -K "Microsoft\Windows\CurrentVersion\Run" 하위에 키가 2개가 존재 하는데 하나는 VMware에서 사용하는 vmtools관련 레지스트리 키인 VMware User Process 이고, 나머지 하나는 악성코드 관련 실행 파일인 AnyConnectInstall.exe 가 사용하는 ..

문제를 보겠습니다. 문제를 보면 프로세스 인젝션을 사용하는 것으로 보인다고 한다. 프로세스 인젝션에 대해서 간략히 설명을 드리자면, 악성코드 및 파일 없는 공격자 트레이드크래프트(Fileless Adversary Tradecraft)에서 자주 사용되는 광범위한 방어 회피 기술입니다. 예로 인터넷 익스플로러를 떠올려 보겠습니다. 과거 매그니베르 악성코드는 인터넷 익스플로러 프로세스에 Injection하여(Fileless) 사용자의 PC에 악성 파일을 남기지 않고 파일들을 암호화하는 행위를 했습니다. 이처럼 정상적인 프로세스에 숨어 있는? 악성파일 입니다. pstree 플러그인을 사용해서 보겠습니다. pstree를 분석했을 때는 솔직히 파악하기 힘들 것 같습니다. 그래서 똑같이 익스플로러를 실행시켜서 Pro..

문제를 보겠습니다. 공격자가 피싱 공격에 성공한 정황을 미루어보면 2번 문제에서 봤던 AnyConnectInstaller.exe 파일이 피싱 공격에 사용된 것으로 보인다. filescan 플러그인을 사용해서 해당 파일이 저장 됐는지 확인을 해보겠습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 filescan | findstr "AnyConnectInstaller.exe" 명령어를 보시면 | 와 findstr을 넣어줬는데, 저는 windows powershell에서 분석을 진행하고 있기 때문에 findstr로 문자열을 찾았습니다. 결과를 확인하면 AnyConnectInstaller.exe 파일이 저장된 흔적이 발견됩니다...

1번 문제를 풀었던 파일로 계속해서 풀어보겠습니다. 문제를 보면 프론트 데스크 직원들의 이메일로 보낸 파일의 이름을 구해야 하는데, 아까 1번에서 봤던 메모장을 다시 확인하겠습니다. 이메일의 본문 내용 아래를 보면 첨부파일의 URL 주소가 있고, IP 주소 뒤에 첨부파일명인 AnyConnectInstaller.exe가 존재하는 것을 볼 수 있다. FLAG : AnyConnectInstaller.exe

문제를 보겠습니다. 문제의 파일로 Target1-1dd8701f.vmss 파일이 주어지는데, 이 중 vmss파일은 VMware Suspended State File의 약자로 가상 소프트웨어로 만들어진 파일. 즉, 가상 시스템이 일시적으로 중단된 상태일 때의 가상 시스템 상태를 저장합니다. 메모리 포렌식을 공부하기 전, volatility 도구를 설치해야 하는데, 설치 방법은 생략하겠습니다. 문제를 풀기 전, vmss 파일의 메모리 정보를 확인하기 위해 imageinfo를 사용했습니다. volatility2.6.exe -f Target1-1dd8701f.vmss imageinfo 파일을 분석했을 때, Windows 7 운영체제에서 사용된 메모리로 보입니다. 다음, 어떤 프로그램들이 실행됐는지(실행되고 있는..

혼공단 6기를 수료하였고, 다시 8기로 돌아오긴 했는데 이미 vs가 설치가 되어있기 때문에 과정은 생략하겠습니다. 01.1 프로그램과 C언어 프로그램은 일의 순서를 뜻합니다. 즉, 우리가 영화 프로그램을 본다고 가정했을 때 순서는 다음과 같습니다. 1. 영화관을 간다. 2. 티켓을 산다. 3. 간식을 산다. 4. 상영실에 입장한다. 5. 영화를 본다. 이렇게 순서를 나뉘어 볼 수 있는데, 이런 방법은 한글로 적어놨기 때문에 컴퓨터가 이해를 할 수 없는 표현입니다. 그래서 우리가 배우는 프로그래밍 언어는 컴퓨터가 이해할 수 있는 정확한 표현의 규칙을 정의해 놓은 언어입니다. 01.1.1 C언어의 장점 C언어의 장점은 크게 3가지로 분류가 됩니다. 1. 시스템 프로그래밍이 가능합니다. - ..

이번에 연구를 진행했던 포렌식은 웹 브라우저 포렌식에 관한 내용인데, 정리를 하고자 작성을 시작했습니다. 1. 개요 웹 브라우저 분석을 진행하게 된 이유는 포렌식 관점에서 매우 중요하기 때문입니다. 그 이유는 사용자들이 자주 사용하는 웹 브라우저의 아티팩트를 분석할 경우 사용자의 관심사 또는 범죄 사건에 필요한 각종 단서(URL, 자주 검색한 키워드, 다운로드) 등을 파악할 수 있습니다. 침해사고 분석 시에도 웹 브라우저를 분석하는 것은 중요합니다. 왜냐면 악성 파일의 유입 경로가 사용자들이 크랙버전을 다운 받거나 악성코드가 심어져있는 악성 문서가 메일로와서 다운을 받게 됩니다. 이때 다운받은 파일들의 경로들이 웹 브라우저 로그에 저장되어 있으니 악성 코드 감염 유입 경로를 파악할 수 있는 정보를 얻을 ..

이번에 리뷰해 볼 논문은 고려대학교 정보보호대학원에서 2017년에 투고된 손상된 ZIP 파일 복구 기법이라는 논문이다. 논문의 원본은 다음 링크로 가면 볼 수 있습니다. https://www.kci.go.kr/kciportal/ci/sereArticleSearch/ciSereArtiView.kci?sereArticleSearchBean.artiId=ART002276535 참고 : 센트럴 디렉터리(C/D), 로컬 파일(L/F), 엔드 오브 센트럴 디렉터리(EOCD)로 표현한다. ABSTRACT 압축파일 형식으로 가장 많이 쓰이는 PKZIP 형식은 ZIP 파일뿐만 아니라 MS Office 파일과 안드로이드 스마트폰의 어플리 케이션 파일 등에서 사용되는 파일형식이다. 다양한 영역에서 널리 쓰이는 PKZIP 형..

어느덧 마지막 문제네요..!! 열심히 썼다고 썻지만 부족한 부분도 많은 점 알고 있습니당..!! 문제를 보겠습니다. 해석을 해보면, git을 탈출하라?? 느낌이긴 합니다.. (제가 영어를 잘 못해서..) 풀이를 해보겠습니다. 로그인을 해보니, 쉘을 입력할 때 uppercase (대문자) 로 인식을 한다고 되어 있습니다. 이런식으로 말이죠..! 쉘 스크립트 명령어에 대해서는 여기서 참고했습니다. https://m.blog.naver.com/baraem2005/20168719811 그래서 풀이를 이어 보겠습니다. 오타는 실수입니다..ㅎㅎ 그래서 $0 는 쉘 또는 쉘 스크립드의 이름을 가지고 있습니다. 그래서 $0를 입력하면 >>가 $로 바뀌고 bash로 쉘을 취득했습니다. 그다음 패스워드가 있는 경로에서 출..

문제를 보겠습니다. 전 문제들과 동일합니다. 풀이를 하겠습니다. 여기서는 git으로 add, commit, push의 명령어를 사용해야 됩니다. 기본적인 단계를 거쳐서 README.md까지 출력 하겠습니다. 자..여기까지 했습니다. 해석을 해보면, 원격 저장소에 파일을 푸쉬하고 푸쉬를 할 때, 파일 이름이 key.txt이고 May I come in? 이라는 문자가 저장되어 있으며, branch는 master이다. 그럼, 일단 현재 branch가 무엇인지 보겠습니다. master 브랜치임을 알 수 있습니다. 그다음, key.txt를 만들어 May I come in? 이라는 문자를 넣어 파일을 하나 만들어 봅시다. 이제 준비는 완료 되었습니다. 일반적으로 git 저장소에 자료를 추가 및 업로드 하기 위해서는..