kkamagi.story

[DISK Forensic] 서울에 위치한 X 에너지 기업이 APT 공격을 받았다. 공격자 A는 6개월 동안 정교한 공격으로 중요한 정보를 훔쳤다. 공격자 A는 공격하는 동안 악성파일, 프리패치, 레지스트리 및 이벤트 로그와 같은 모든 흔적을 제거하기 위해 많은 노력을 기울이므로 X 에너지 기업에서 공격 경로를 찾기가 어려웠다. 하지만 포렌식 전문가인 IU는 MFT를 분석해서 공격자 A의 흔적을 찾을 수 있었다. 악성파일이 생성된 시간은 언제인가? 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다. KEY Format : YYYY-MM-DDThh:mm:ss.s(소수 점 이하 일곱 자리까지 계산하시오.) 사용도구 : HxD, 7zip, AnalyzeMFT master(cli-tool) 파일 확..

Find Key(slack) 사용도구 : sleuthKit 해당 이미지를 FTK Imager로 마운트하여 보았으나, 특이사항 발견하지 못함 -> sleuthKit의 blkls 명령어를 이용하여, 파일시스템 데이터에 key를 숨겨두는 방법(slack 공간)을 이용하지는 않았는지 확인한다. 슬랙공간이란 디스크 섹터에 데이터가 저장되고 남은 데이터 공간이다. 다른 데이터가 디스크에 기록되어도 슬랙 공간에 저장되지 않고 다른 섹터에 저장한다. 그렇기 때문에 이 슬랙 공간은 악성코드나 특정 데이터들을 숨기거나 기록하는데 악용되기도 한다. ubuntu에 sleuthKit을 설치하고 blkls 명령어를 통해 이미지에서 slack space에 숨겨둔 데이터를 분석한다. 41e7dbb0b1678c0c96a0b664501..

[DISK Forensic] Please get my key back! 사용도구 : HxD, binwalk, Firmware-mod-kit 파일 타입 확인 불가 HxD로 확인결과, type=firmware라는 문자열이 존재하는 것을 보아, 펌웨어 데이터로 추측 binwalk로 파일을 분석하면 해당 파일이 LZMA(Lempel-Ziv-Markov chain algorithm, 데이터 압축에 쓰이는 알고리즘으로 최대 4GB의 가변 압축 사전 크기를 제공) 방식으로 압축된 SquashFS(리눅스에서 사용되는 읽기 전용 파일 시스템. 주로 임베디드 시스템에서 사용) 데이터 인 것을 확인 펌웨어 이미지를 분석하기 위해 firmware mod kit을 이용 firmware mod kit (fmk)설치 http://..

판교 테크노밸리 K기업에서 기밀유출 사건이 발생했다. 현재 용의자의 시스템을 조사하는 중이다. 용의자의 인터넷 사용 패턴으로 용의자의 관심사를 파악하고자 한다. 용의자가 가장 많이 접근했던 사이트의 URL(http://aaa.bbb.cccc/)과 해당 URL에 마지막으로 접근한 시간(UTC+09:00)을 알아내시오. (1~2번 문제파일 : 2012_Secuwave F200.7z) 사용도구 : IE10Analyzer.exe KEY Format : URL(http://aaa.bbb.cccc/) KEY Format : yyyy-MM-dd_hh:mm:ss 브라우저 접속 정보 분석 필요 웹 브라우저 History - 접속URL/접속 횟수/마지막 접속 시간, 접속 페이지 등의 정보가 있음 압축 해제 7ester -..

(A~C번 문제파일 : 2012_Secuwave F100.7z) 이벤트예약 웹사이트를 운영하고 있는 "깜짝이야"사의 관리자 앞으로 한통의 협박 메일이 도착했다. 당장 10억을 입금하지 않으면, 확보한 자사의 웹페이지 소스코드를 모두 공개할 것이며, 추가적인 위협을 가하겠다는 내용이다. 관리자는 포렌식 전문가인 당신에게 침해사고 분석을 의뢰하였다. 침해된 시스템에 남겨진 흔적과 각종 로그 파일을 분석하여 다음 사항을 밝혀내시오. A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은? Key format: (yyyy-MM-dd_hh:mm:ss) B. 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? (10진수) KEY Format : 1234 C. 리버스쉘(Revers..

A회사 보안팀은 내부직원 PC의 자체보안감사 중 특정직원 PC에서 인터넷을 통해 내부문서를 외부로 업로드 한 흔적을 발견하였다. 보안팀은 보안 위반 흔적을 더 찾기 위해 직원 스마트폰도 임의 제출을 받아 추가 흔적을 조사하였다. 내부문서의 정보를 찾아 정답을 입력하시오. KEY Format : Upload Date&Time(UTC+09:00)_Modified Date&Time(UTC+09:00)_FileName.Extention_Filesize(LogicalFileSize) ex)2013/03/01&21:00:00_2013/04/03&10:00:50_sample.docx_100MB 사용도구 : Plist Editor Pro v2.5 / FTK Imager / DB Browser for SQLite v3...

경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세웠다. 경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다. 경찰청은 인터넷에 떠돌아다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다. 어느 날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 음란물은 완전 삭제되어 있었다. 그래서 아동 음란물을 받은 흔적을 찾기 위해 증거들을 모두 분석하였지만 아동 음란물 다운로드에 대한 흔적은 존재하지 않았다. 경찰청은 분명 다운로더가 아동 음란물을 받는 것을 트랙픽 모..

복구 된 키 이미지 파일의 논리 파일 해시 값은 무엇입니까? (MD5) 사용도구 : FTK Imager, R-Studio, Hex Editor, HashCalc evidence.001 이미지 파일을 FTK Imager 마운트 후 분석 evidence image를 추가 후 파티션 확인 결과 특이한 점은 없으나 비정상 또는 손상된 파티션이 존재하는 것으로 추정됨 R-Studio (하드디스크 복구 프로그램) 다운 및 관리자 권한으로 실행하여, 로컬 컴퓨터 내에 존재하는 이미지를 가상으로 마운트 시켜 확인 Empty Space4에 마우스 우클릭 후 'Scan' Scan을 완료하니 2개의 파일시스템이 확인됨 Recognized0 Recognized1 FTK Imager에서 확인된 파티션과 비교해보면 Recogni..

조사대상 PC : WinXp 가상머신 사건 개요가해자가 피해자 협박을 위해 피해자의 사진을 찍어 보관했다. 가해자는 wiping으로 증거자료를 모두 삭제한 상태이다. 목적수사관으로서 가해자가 삭제한 증거자료를 모두 복구하시오. 분석 시 참고사항Thumbnail(썸네일) file 기능 이용 (폴더 구성 및 옵션에서 숨기기 기능, 확장자 표시 등)WFA를 이용해 Thumb 파일 불러오기 분석초기 분석 : 주로 시간이 지남에 따라 사라지기 쉬운 정보와 라이브 시스템에서만 획득할 수있는 정보를 수집&분석상세 분석 (Windows 피해 시스템) : 초기 분석 외 추가적인 분석 시 결국 파일 시스템을 분석해야하며, 구체적이어야 함 - 숨겨진 공격 흔적 분석#숨기는 방법1) 파일 속성 attrib 숨기기 : Attr..

NX 장비 이벤트 분석_1 1. Web Infection Pcap 분석 하기- Pcap 다운로드 및 실행- Wireshark에서 file - Export objects - HTTP 클릭 HTTP object list로 hostname, Content Type, Filename 및 사이즈에 대한 리스트로 분석 가능 위 화면에서 FireEye Web Infection 이벤트에 감염 URL로 찍힌 도메인을 찾고 그 바로 위 도메인에 대한 정보 수집 및 분석-> 해당 패킷을 http stream으로 다시 찍어서 referer가 있는지 확인referer가 없는 경우- 해당 사이트를 요청 시 자바 플래쉬를 이용하여 리다이렉트 했을 경우 남기지 않음- 패킷 유실의 경우