kkamagi.story

[NETWORK] chapter01 우리는 적군에 대한 첩보를 수집하기 위해 스파이를 고용했다. 그러나 스파이는 추출한 기밀문서를 잃어버린 것 같다. 그들은 이것을 우리에게 보냈고, 이것을 통해 필요한 모든 것을 찾을 수 있다고 했다. 도와 줄 수 있습니까? * 문제 첨부파일 다운로드 (exfil.tar.xz) - dump.pcap - server.py 1. dump.pcap Wireshark 분석 - DNS 패킷확인 tshark -r dump.pcap -Tfields -e dns.qry.name | awk '!a[$0]++' > extracted.txt && tshark -r dump.pcap -Tfields -e dns.cname | awk '!a[$0]++' >> extracted.txt 성공적으로..

나는 힉스 입자가 발견되지 않을 것이라고 미시건 대학의 Gordon Kane과 내기를 했다. file 확장자가 부재하여 file 명령어로 file type 확인 - xz 압축 파일임을 확인 file type을 계속확인하여 xz -> tar -> pcap 파일을 얻을 수 있었다. 이제 wireshark로 패킷을 분석해보자. TCP 통신이 이뤄졌던 것을 확인 Follow Stream을 통해 데이터를 확인 tcp stream eq 0 을 보면, file명과 hash값을 알 수 있다. 리눅스의 string 명령어를 사용하여 pcap 파일의 string을 검색하고, SHA-1 값만 grep해 보자. 6개의 Hash 값이 확인되었으나, Hash 값만 통해 어떤 파일인지 식별이 불가능하여, Hybrid Analysi..

[NETWORK] chapter01 - 파일을 다운로드하고 플래그를 찾아라. https://github.com/ctfs/write-ups-2015/blob/master/asis-quals-ctf-2015/forensic/zrypt/README.md https://www.virustotal.com/gui/file/37ec11678ab1ac0daf8a630fdf6fb37ca250b3c4f44c092f1338a14409fb3f79/details HTTP Object 확인 위와 같이 특이한 이름의 파일들을 확인해보면 다음과 같다. YupE1RB8 EX8UPdUb xnCub4eW EO4qqhn8 VuwPO9eM BOQqupmS E0frzRAi file type 확인 후 zipinfo 명령어를 통해 압축파일들의 정..

[NETWORK] chapter01 - 하늘은 왜 푸른색입니까? binwalk (특정 파일에서 어떤 파일이 포함되어 있는지 분석 및 추출하는 툴)을 통해 blue.pcap 파일 내에 png 파일이 포함되어 있는 것을 확인 wireshark로 blue.pcap파일을 열고 ctrl + F로 'png' String을 검색한다. 검색 시 맨 좌측에 Packet bytes로 변경 후 검색한다. 검색하면 특정 패킷에 특정됨을 확인할 수 있다. 패킷의 헤더를 보면 [02 0c 20] 으로 시작함을 알 수 있다. ctrl+F를 통해 추가적으로 Hex값을 검색해보면 해당 헤더 [02 0c 20]을 가진 6개의 패킷을 확인할 수 있다. 283, 288, 293, 298, 303, 308, 313 패킷에 대해 wiresha..

당신의 친구 Joey는 당신의 도움이 필요한 데이터가 있는 USB 키를 남겼다. 데이터는 서비스 제공 업체로부터 ‘보안 파일 형태’로 방화벽 로그를 받아와 데이터가 보호되어 있거나 난독화 되어있을 것이라고 생각된다. https://github.com/ctfs/write-ups-2015/tree/master/bsides-vancouver-ctf-2015/forensics/garbage-file # gunzip garbagefile.pcapng.gz pcap파일 확인 및 분석 UDP 통신이 이루어진 것을 확인 png 파일에서 tftp 패킷데이터를 추출 # tshark -r garbagefile.pcapng -Y "udp" -T fields -e data | tr -d '\n' | xxd -r -p > dat..

[NETWORK] chapter01 - 살인을 확인할 수 있습니까? 부검 파일에 서명해주세요. -> 손상된 pcap 파일 kill.pcapng 파일이 정상적으로 열리지 않는 것을 확인 pcap file을 우분투 docker로 복사하여 아래 명령 설치 및 실행 (pcapfix) # apt-get install pcapfix 복구가 완료되면 파일명에 'fixed_'문자열이 붙은 파일이 생성된다. docker를 빠져나온 뒤 복구한 pcap파일을 호스트로 복사 statistics - Conversations을 통해 두 host간 연결 정보 및 내용을 확인 TCP Stream으로 패킷 상세 내용 확인 -> jpg, mp4 파일을 전송한 내용 확인 jpg 파일의 시그니처 [FF D8 FF E0 xx xx 4A 46..

X 회사의 재정 정보를 훔치기 위해서 IU는 비밀리에 직장을 구했다. 그녀는 CFO의 컴퓨터를 공격하기로 결정한 후 사회 공학적 방법으로 악의적인 악성코드를 자신의 컴퓨터로 삽입하기로 결정했다. 그녀는 CFO가 퇴근할 때 컴퓨터를 끄지 않는다는 것을 알아냈다. CFO가 사무실에서 나간 후, 그녀는 CFO의 컴퓨터에서 재무자료를 얻고 EXCEL 파일을 검색한다. 그녀는 설치된 응용 프로그램을 확인해서 파일에서 정보를 찾을 수 있었다. 모든 추적을 제거하기 위해 그녀는 악성코드, 이벤트 로그 및 최근 파일 목록을 지웠다. X 회사는 적절한 조치를 취하기 위해 그녀가 어떤 정보를 훔쳤는지 밝혀야 한다. 이 파일들은 CFO의 컴퓨터에서 공격받은 파일들이다. 그녀가 훔친 파일의 전체 경로와 파일의 크기를 찾아라...

서울에 사는 IU가 특정 웹 사이트에서 SQL Injection 공격을 시도하자 갑자기 브라우저가 비정상적으로 종료됐다. 그녀가 입력하려고 했던 SQL Injection 값은 무엇이고 브라우저가 닫힌 시점은 언제인가? 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다. KEY Format : Injection_value|time(‘|’ 는 문자일 뿐이다.) 파일 확인(7z) 압축해제 후 user 폴더 확인 지문에서 범인이 SQL INJECTION 공격을 시도하다가 브라우저가 종료되었다고 한다. user 폴더에서 사용자 폴더 내 각 브라우저 데이터가 저장되는 폴더를 확인 브라우저 데이터 저장 경로 IE(Internet Explorer) C:\users\사용자\AppData\Roaming\Mic..

[DISK Forensic] IU는 악성코드에 의해 감염된 시스템을 조사하고 있다. 타임라인을 분석한 결과 2012년 2월 9일 이후 오염된 것으로 보인다. 오염된 경로는 웹 페이지 방문으로 판단된다. 아이유는 여러 사용자들의 인터넷 추적을 분석하고 있지만, 악성 URL을 찾지 못했다. 시스템이 감염됐을때 흔적이 지워졌을수도 있다. 정확한 악성 URL과 오염된 시간을 찾아라. 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다. KEY Format : malicious_URL|YYYY-MM-DDThh:mm:ss(‘|’ 는 문자일 뿐이다.) 파일 type 확인 및 압축 해제 압축 해제 후 아래 경로에 cookie라는 이름의 파일이 존재하는 것을 확인 -> 파일 시그니처 확인 디지털포렌식 with..

[DISK Forensic] 서울에 위치한 X 에너지 기업이 APT 공격을 받았다. 공격자 A는 6개월 동안 정교한 공격으로 중요한 정보를 훔쳤다. 공격자 A는 공격하는 동안 악성파일, 프리패치, 레지스트리 및 이벤트 로그와 같은 모든 흔적을 제거하기 위해 많은 노력을 기울이므로 X 에너지 기업에서 공격 경로를 찾기가 어려웠다. 하지만 포렌식 전문가인 IU는 MFT를 분석해서 공격자 A의 흔적을 찾을 수 있었다. 악성파일이 생성된 시간은 언제인가? 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다. KEY Format : YYYY-MM-DDThh:mm:ss.s(소수 점 이하 일곱 자리까지 계산하시오.) 사용도구 : HxD, 7zip, AnalyzeMFT master(cli-tool) 파일 확..