kkamagi's story

IT, 정보보안, 포렌식, 일상 공유

반응형

디스크포렌식 9

[Forensic] 디스크포렌식 기초

1) 디스크포렌식 분석 기초 - 모든 섹터들이 한 파티션에 모두 할당되지 않기 때문에 볼륨의 파티션 레이아웃을 분석하는 것이 필요 - 할당되지 않은 섹터들은 이전 파일시스템 데이터를 포함하거나 공격자가 숨기려고 하는 데이터를 포함할수도 있음 - 파일시스템 분석도구는 파티션 시스템에서 파티션 테이블 위치를 알아내고, 그 레이아웃을 식별해서 테이블 내용을 확인, 레이아웃 정보를 확인해서 파티션 오프셋을 알아내고, 파티션 정보를 출력 디지털포렌식2급 필기 스터디 1일차 메모 -------------1장 디지털포렌식 의의-------------- 디지털포렌식 5대원칙 -영어로도 나올 수 있음 적법성 재현성 신속성 연계보관성 무결성 (해시값) 디지털포렌식 수행과정 쓰기 방지 -> 사본 -> 원본은 봉인 조금이라도..

디지털포렌식 with CTF - [DISK Forensic] 01

X 회사의 재정 정보를 훔치기 위해서 IU는 비밀리에 직장을 구했다. 그녀는 CFO의 컴퓨터를 공격하기로 결정한 후 사회 공학적 방법으로 악의적인 악성코드를 자신의 컴퓨터로 삽입하기로 결정했다. 그녀는 CFO가 퇴근할 때 컴퓨터를 끄지 않는다는 것을 알아냈다. CFO가 사무실에서 나간 후, 그녀는 CFO의 컴퓨터에서 재무자료를 얻고 EXCEL 파일을 검색한다. 그녀는 설치된 응용 프로그램을 확인해서 파일에서 정보를 찾을 수 있었다. 모든 추적을 제거하기 위해 그녀는 악성코드, 이벤트 로그 및 최근 파일 목록을 지웠다. X 회사는 적절한 조치를 취하기 위해 그녀가 어떤 정보를 훔쳤는지 밝혀야 한다. 이 파일들은 CFO의 컴퓨터에서 공격받은 파일들이다. 그녀가 훔친 파일의 전체 경로와 파일의 크기를 찾아라...

DFIR/Challenge 2020.01.18

디지털포렌식 with CTF - [DISK Forensic] 02

서울에 사는 IU가 특정 웹 사이트에서 SQL Injection 공격을 시도하자 갑자기 브라우저가 비정상적으로 종료됐다. 그녀가 입력하려고 했던 SQL Injection 값은 무엇이고 브라우저가 닫힌 시점은 언제인가? 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다. KEY Format : Injection_value|time(‘|’ 는 문자일 뿐이다.) 파일 확인(7z) 압축해제 후 user 폴더 확인 지문에서 범인이 SQL INJECTION 공격을 시도하다가 브라우저가 종료되었다고 한다. user 폴더에서 사용자 폴더 내 각 브라우저 데이터가 저장되는 폴더를 확인 브라우저 데이터 저장 경로 IE(Internet Explorer) C:\users\사용자\AppData\Roaming\Mic..

DFIR/Challenge 2020.01.17

디지털포렌식 with CTF - [DISK Forensic] 03

[DISK Forensic] IU는 악성코드에 의해 감염된 시스템을 조사하고 있다. 타임라인을 분석한 결과 2012년 2월 9일 이후 오염된 것으로 보인다. 오염된 경로는 웹 페이지 방문으로 판단된다. 아이유는 여러 사용자들의 인터넷 추적을 분석하고 있지만, 악성 URL을 찾지 못했다. 시스템이 감염됐을때 흔적이 지워졌을수도 있다. 정확한 악성 URL과 오염된 시간을 찾아라. 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다. KEY Format : malicious_URL|YYYY-MM-DDThh:mm:ss(‘|’ 는 문자일 뿐이다.) 파일 type 확인 및 압축 해제 압축 해제 후 아래 경로에 cookie라는 이름의 파일이 존재하는 것을 확인 -> 파일 시그니처 확인 디지털포렌식 with..

DFIR/Challenge 2020.01.17

디지털포렌식 with CTF - [DISK Forensic] 05

Find Key(slack) 사용도구 : sleuthKit 해당 이미지를 FTK Imager로 마운트하여 보았으나, 특이사항 발견하지 못함 -> sleuthKit의 blkls 명령어를 이용하여, 파일시스템 데이터에 key를 숨겨두는 방법(slack 공간)을 이용하지는 않았는지 확인한다. 슬랙공간이란 디스크 섹터에 데이터가 저장되고 남은 데이터 공간이다. 다른 데이터가 디스크에 기록되어도 슬랙 공간에 저장되지 않고 다른 섹터에 저장한다. 그렇기 때문에 이 슬랙 공간은 악성코드나 특정 데이터들을 숨기거나 기록하는데 악용되기도 한다. ubuntu에 sleuthKit을 설치하고 blkls 명령어를 통해 이미지에서 slack space에 숨겨둔 데이터를 분석한다. 41e7dbb0b1678c0c96a0b664501..

DFIR/Challenge 2020.01.16

디지털포렌식 with CTF - [DISK Forensic] 06

[DISK Forensic] Please get my key back! 사용도구 : HxD, binwalk, Firmware-mod-kit 파일 타입 확인 불가 HxD로 확인결과, type=firmware라는 문자열이 존재하는 것을 보아, 펌웨어 데이터로 추측 binwalk로 파일을 분석하면 해당 파일이 LZMA(Lempel-Ziv-Markov chain algorithm, 데이터 압축에 쓰이는 알고리즘으로 최대 4GB의 가변 압축 사전 크기를 제공) 방식으로 압축된 SquashFS(리눅스에서 사용되는 읽기 전용 파일 시스템. 주로 임베디드 시스템에서 사용) 데이터 인 것을 확인 펌웨어 이미지를 분석하기 위해 firmware mod kit을 이용 firmware mod kit (fmk)설치 http://..

DFIR/Challenge 2020.01.15

디지털포렌식 with CTF - [Disk Forensic] 09

A회사 보안팀은 내부직원 PC의 자체보안감사 중 특정직원 PC에서 인터넷을 통해 내부문서를 외부로 업로드 한 흔적을 발견하였다. 보안팀은 보안 위반 흔적을 더 찾기 위해 직원 스마트폰도 임의 제출을 받아 추가 흔적을 조사하였다. 내부문서의 정보를 찾아 정답을 입력하시오. KEY Format : Upload Date&Time(UTC+09:00)_Modified Date&Time(UTC+09:00)_FileName.Extention_Filesize(LogicalFileSize) ex)2013/03/01&21:00:00_2013/04/03&10:00:50_sample.docx_100MB 사용도구 : Plist Editor Pro v2.5 / FTK Imager / DB Browser for SQLite v3...

DFIR/Challenge 2020.01.10

디지털포렌식 with CTF - [DISK Forensic] 10

경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세웠다. 경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다. 경찰청은 인터넷에 떠돌아다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다. 어느 날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 음란물은 완전 삭제되어 있었다. 그래서 아동 음란물을 받은 흔적을 찾기 위해 증거들을 모두 분석하였지만 아동 음란물 다운로드에 대한 흔적은 존재하지 않았다. 경찰청은 분명 다운로더가 아동 음란물을 받는 것을 트랙픽 모..

DFIR/Challenge 2020.01.10

디지털포렌식 with CTF - [DISK Forensic] 11

복구 된 키 이미지 파일의 논리 파일 해시 값은 무엇입니까? (MD5) 사용도구 : FTK Imager, R-Studio, Hex Editor, HashCalc evidence.001 이미지 파일을 FTK Imager 마운트 후 분석 evidence image를 추가 후 파티션 확인 결과 특이한 점은 없으나 비정상 또는 손상된 파티션이 존재하는 것으로 추정됨 R-Studio (하드디스크 복구 프로그램) 다운 및 관리자 권한으로 실행하여, 로컬 컴퓨터 내에 존재하는 이미지를 가상으로 마운트 시켜 확인 Empty Space4에 마우스 우클릭 후 'Scan' Scan을 완료하니 2개의 파일시스템이 확인됨 Recognized0 Recognized1 FTK Imager에서 확인된 파티션과 비교해보면 Recogni..

DFIR/Challenge 2020.01.10
반응형