반응형
[DISK Forensic] IU는 악성코드에 의해 감염된 시스템을 조사하고 있다. 타임라인을 분석한 결과 2012년 2월 9일 이후 오염된 것으로 보인다. 오염된 경로는 웹 페이지 방문으로 판단된다. 아이유는 여러 사용자들의 인터넷 추적을 분석하고 있지만, 악성 URL을 찾지 못했다. 시스템이 감염됐을때 흔적이 지워졌을수도 있다. 정확한 악성 URL과 오염된 시간을 찾아라. 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다.
KEY Format : malicious_URL|YYYY-MM-DDThh:mm:ss(‘|’ 는 문자일 뿐이다.)
파일 type 확인 및 압축 해제
압축 해제 후 아래 경로에 cookie라는 이름의 파일이 존재하는 것을 확인 -> 파일 시그니처 확인
디지털포렌식 with CTF
COUPANG
www.coupang.com
-> sqlite db file 인 것 확인 후 sqlite db browser로 확인이 필요
SQLite browser로 확인한 결과, 악성 URL로 판단되는 URL 확인 불가
해당 Cookies 파일을 String으로 검색하여 text 파일로 저장
파일을 확인한 결과 sqlite browser에서 확인할 수 없었던 URL이 확인됨
8.test.wargame.kr
.test.wargame.kr
.test.wargame.kr__utmz134301300.1328799447.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)/
.test.wargame.kr__utma134301300.282793704.1328799447.1328799457.1328799457.10/
test.wargame.kr 뒤에 utmz, utma 쿠키값이 존재한다.
-
utma는 웹 브라우저에서 웹 사이트를 처음 방문할 때의 시간정보가 저장되는 쿠키이다.
-
utmz는 방문자가 사이트를 방문하는데 사용하는 접속 유형 정보가 저장되는 쿠키이다.
-
악성코드에 시스템이 감염되는 상황을 보면 웹 사이트에 처음 방문 시 감염확률이 높다.
-
utma 쿠키 값 구분
|
데이터 위치
|
의미
|
|
1
|
각 도메인의 고유한 Hash 값
|
|
2
|
고유 식별자 (고유 ID)
|
|
3
|
처음 웹 사이트를 방문한 시간의 타임스탬프
|
|
4
|
이전 방문에 대한 타임스탬프
|
|
5
|
현재 방문에 대한 타임스탬프
|
|
6
|
시작된 세션 수
|
-
위 구분표 대로 해석하면,
-
.test.wargame.kr__utma134301300.282793704.1328799447.1328799457.1328799457.10/
-
.test.wargame.kr__utma : 제외
-
134301300 : 첫번째 데이터
-
282793704 : 두번째 데이터
-
1328799447 : 세번째 데이터
-
1328799457 : 네번째 데이터
-
1328799457 : 다섯번째 데이터
-
10 : 여섯번째 데이터
-
utma 퀴에 기록된 인코딩 시간정보를 DCODE 프로그램을 사용하여 실제 시간으로 변환 -> 세번째 값을 디코딩
KEY Format : malicious_URL|YYYY-MM-DDThh:mm:ss(‘|’ 는 문자일 뿐이다.)
malicious_URL|YYYY-MM-DDThh:mm:ss
-> test.wargame.kr|2012-02-09T23:57:27
반응형
'DFIR > Challenge' 카테고리의 다른 글
| 디지털포렌식 with CTF - [DISK Forensic] 01 (0) | 2020.01.18 |
|---|---|
| 디지털포렌식 with CTF - [DISK Forensic] 02 (0) | 2020.01.17 |
| 디지털포렌식 with CTF - [DISK Forensic] 04 (0) | 2020.01.16 |
| 디지털포렌식 with CTF - [DISK Forensic] 05 (0) | 2020.01.16 |
| 디지털포렌식 with CTF - [DISK Forensic] 06 (0) | 2020.01.15 |