[N0Named CTF - Write Up [B]] 유출된 자료 거래 사건 [3]

이전 시간에 배웠던 것을 잠깐 되짚어 보자면 우리는 사용자의 흔적을 찾기 위해 로그 기록을 분석합니다. 로그는 컴퓨터 사용자가 어떤 행위를 했는지에 대한 정보가 담겨있는 곳이라고 했습니다. 그리고 "파일을 입수한 경로" 라는 말은 파일을 웹 브라우저에서 다운을 받든, 메일을 통해서 받든 인터넷을 통해서 얻어 온 파일이라는 뜻이고, 우리는 사용자가 웹 브라우저를 이용했을 때 분석하는 History분석 파일이 필요했습니다. 그래서 이 경로를 따라서 파일을 찾습니다. "root/Users/username/AppData/Local/Google/Chrome/User Data/Defalut/History" 찾고 나서 분석을 한 다음 파일 명이 변경되었다는 말이 있었으니까 파일에 대한 모든 정보를 저장하는  $Logfile $UsnJrnl$J, $MFT 로그 파일을 찾습니다. 이 파일들을 가지고 분석을 진행하면 결과를 도출할 수 있었습니다.

 

이번 시간에도 저번 시간과 이어서 같은 vmdk를 가지고 분석을 진행하겠습니다. 

 

오늘의 문제를 한번 봅시다.

구매자의 집에 동거자가 있다는 말은 사용자가 한 명이 아니라 두 명이라는 뜻으로 추측을 할 수 있습니다. 그럼 사용자의 계정이 두 개일 텐데 계정이 삭제가 되었다고 하네요?? "Root\Users" 경로로 가서 사용자의 계정을 한번 봅시다.

"nonamed"와 "cocktail" 계정이 존재하는것이 보이나요?? 우리가 원래 알고 있던 사용자는 nonamed인데 동거자로 추측되는 cocktail이라는 이름으로 사용하고 있는 계정이 존재하네요!! 우리는 삭제된 계정을 정확히 파악하기 위해 이벤트 로그를 볼 건데, 윈도우에서 로그인 기록은 이벤트 뷰어에서 Security(보안) 로그에 담겨있습니다.

"Root\Windows\System32\winevt\Logs"경로에 가면 Security라는 이벤트 뷰어를 찾을 수 있습니다.

사진이 커서 다 담지는 못했지만 위에 빨간글씨로 써놓은 경로를 따라가시면 찾을 수 있습니다.

그림 이벤트 로그를 분석하기 위해 Export해줍시다.

이렇게 파일 추출이 완료되었으면, 추출된 파일을 더블 클릭해서 이벤트 로그를 분석해봅시다.

이런 식으로 보일 텐데, 정보가 엄청 많이 보이니까 아까 우리가 찾은 다른 사용자의 계정 명인 cocktail을 검색해봅시다.

하나씩 내리다 보면 하단에 설명란에 이런 식으로 사용자 계정을 삭제했습니다.라는 문구가 보이실 겁니다.

그럼 로그 된 날짜가 보이시나요?? 문제가 계정이 삭제된 시각이라고 했으니 저걸 토대로 FLAG값을 입력하시면 됩니다.

 

이번 시간에 배운것은 이전 시간에 배운것보다 엄청 쉬울텐데, 한 가지만 명심하시면 됩니다.

윈도우에서 "로그인 기록"을 확인하기 위해서는 이벤트 뷰어에 "Security 이벤트 로그" 에 담겨 있습니다.