비전공자의 포렌식일기

문제를 보겠습니다. 파일을 다운 받아보니 튤립이 하나 있습니다. 음...그래서 스테가노그래피인거 같아서 stegsolve를 사용했습니다. 뭔가 적혀있는 것 같아서 확대를 시켜봤습니다. 원본에서 확대를 시켜보니 답을 찾을 수 있었습니다. 이런식으로 말이죠!!!

이번 시간에 공부를 할 개념은 슬랙 공간입니다. 슬랙 공간(Slack Space) 슬랙 공간은 물리적인 크기와 논리적인 크기 차이로 인해 낭비가 되는 공간으로써, 물리적으로는 할당된 공간이지만 논리적으로는 사용할 수 없는 공간을 의미합니다. 이 부분에 대해서는 실제 포렌식 문제를 가지고 와서 설명을 드리겠습니다. (램 슬랙 참고!!) 디스크는 데이터를 섹터 단위로 읽고 쓰기 작업이 이루어지며 디스크 입출력 속도를 향상시키기 위해서 여러 개의 섹터를 묶어서 한 번에 처리하게 끔 클러스터라는 개념을 사용합니다. * 클러스터 : 여러 개의 섹터(512Byte)를 묶은 개념, 운영체제에서 사용하는 데이터 저장의 최소 단위로 사용 디스크는 섹터, 클러스터 단위로 입출력을 처리하지만 파일은 가변적이기 때문에 파일의..

문제를 보겠습니다. 문제를 보면, 시스템에 원격으로 접근하는 방법은 여러가지가 있는데, 그 중 공격자가 원격 접근 방식을 사용했다. 연결한 IP 주소는 무엇인가?? 결국엔, 클라이언트 원격 관리 서비스의 이름을 가진 프로그램을 찾아야 하는데, 일단 팀뷰어를 가지고 원격을 접속하고, 또 프로그램을 실행한 것으로 보아 netscan 플러그인을 사용하겠습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 netscan 다양한 네트워크 흔적들을 보았을 때, 팀뷰어를 실행하고 난 후 프로세스들을 보면 outlook, mstsc 등등 있는데, mstsc는 마이크로소프트에서 구성하는 터미널 클라이언트 원격..

문제를 보겠습니다. 문제를 보시면, 원격 관리 소프트웨어를 설치했다고 한다. 원격 관리 소프트웨어를 찾아보자! 플러그인은 14번 문제와 동일하게 netscan입니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 netscan 보시면, TeamViewer라는 프로그램이 실행이 되고 있음을 알 수 있습니다. 팀뷰어는 컴퓨터 간 원격 제어, 데스크톱 공유, 파일 전송을 위한 컴퓨터 소프트웨어 패키지입니다. FLAG : Teamviewer.exe

문제를 보겠습니다. 이번 문제에서는 공격자의 멀웨어가 사용한 IP 전체 주소와 포트는 무엇인가? 라고 물어봤기 때문에 네트워크 관련된 플러그인을 사용하면 됩니다. 그래서 netscan 플러그인을 사용해보겠습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 netscan 우리가 이전에 풀었던 문제들을 보면, 악성 파일의 이름은 Any~~였고, 프로세스 인젝션 된 것은 iexplore.exe였습니다. 그래서 해당 플러그인을 사용하면, IP 주소와 포트를 찾을 수 있었습니다. FLAG :180.76.254.120:22

문제를 보겠습니다. 문제를 보시면, nbtscan.exe 프로세스를 통해서, nbt.txt라는 텍스트 파일로 저장을 했다는 것을 알 수 있었다 그럼 명령어가 ./nbtscan.exe > nbt.txt 이렇게 되어있는 것 같은데, 찾아보니까 파일이 존재하지 않았습니다. 그래서 출제자가 문제를 낼 때, 에러를 범했을 것이라고 생각이 들어 txt파일만 다 찾아봤습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 filescan | findstr ".txt" 하니까 많은 txt파일이 출력이 되는데, 그 중 비슷하게 생긴 nbs.txt가 눈에 들어왔습니다. 그래서 dumpfiles 명령어를 가지고, ..

문제를 보겠습니다. netscan.exe의 타임 스탬프를 말하는데, 실제로 문제에 오타가 있는 것 같습니다. 그래서 아까 찾았던 3개의 실행 파일 중, nbtscan.exe임을 깨닫고, mftpaser를 통해서 출력한 엑셀 파일에서 찾아보겠습니다. volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 mftparser | findstr "nbtscan.exe" 타임스탬프를 찾을 수 있었습니다. FLAG :2015-10-09 10:45:12

문제를 보겠습니다. 프런트 데스크 로컬 관리자의 계정 암호를 찾는것이 문제입니다. 이 문제는 엉겹결에? 푼것같지만, 전에 사용했던 consoles 플러그인을 사용했을 때, 나오는 값을 보시면, 답을 찾을 수 있었습니다. FLAG : flagadmin@1234\ 다른 방법으로 풀고 싶다면, 이렇게 푸시면 됩니다. cmdscan 플러그인을 사용합니다. 그럼 위 보시는 사진과 같이 값이 출력이 되는데, w.tmp에 뭔가를 -w 옵션을 준 것으로 보아 뭘 썼습니다. 그래서 filescan 플러그인을 활용해서 w.tmp에 대한 오프셋 주소를 찾아서 dumpfiles로 덤프를 뜨시면 찾아볼 수 있습니다.

문제를 보겠습니다. 문제를 보면, 프런트 데스크 PC를 손상시키기 위해서 도구를 옮겼다. 도구들은 무엇인가? 도구를 옮겼다는 것은, 컴퓨터 내부에 exe파일이 있음을 알고, dir에 나열된 모든 파일을 보기 위해서 consoles 플러그인을 사용했습니다. consoles 플러그인의 특징은 다음과 같습니다. cmdscam과 유사하게 콘솔 플러그인은 공격자가 cmd.exe에 입력하거나 백도어를 통해 실행한 명령을 찾습니다. 이 플러그인은 COMMAND_HISTORY를 검색하는 대신 CONSOLE_INFORMATION을 검색합니다. 이 플러그인의 주요 장점은 공격자가 입력한 명령을 인쇄할 뿐만 아니라 전체 화면 버퍼(입력 및 출력)를 수집한다는 것입니다. 예를 들어, "dir"을 보는 대신 "dir" 명령으로..

문제를 보겠습니다. 관리자 계정의 NTLM 암호 해시를 찾아야 하는데, volatility는 hash를 덤프해주는 hashdump 플러그인이 있습니다. hashdump는 SAM 파일을 추출할 때 쓰이는 명령이고, 사용자의 암호 해쉬값을 찾을 수 있습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 hashdump Flag : aad3b435b51404eeaad3b435b51404ee:79402b7671c317877b8b954b3311fa82