kkamagi.story

[NETWORK] chapter01 - 파일을 다운로드하고 플래그를 찾아라. https://github.com/ctfs/write-ups-2015/blob/master/asis-quals-ctf-2015/forensic/zrypt/README.md https://www.virustotal.com/gui/file/37ec11678ab1ac0daf8a630fdf6fb37ca250b3c4f44c092f1338a14409fb3f79/details HTTP Object 확인 위와 같이 특이한 이름의 파일들을 확인해보면 다음과 같다. YupE1RB8 EX8UPdUb xnCub4eW EO4qqhn8 VuwPO9eM BOQqupmS E0frzRAi file type 확인 후 zipinfo 명령어를 통해 압축파일들의 정..

[NETWORK] chapter01 - 하늘은 왜 푸른색입니까? binwalk (특정 파일에서 어떤 파일이 포함되어 있는지 분석 및 추출하는 툴)을 통해 blue.pcap 파일 내에 png 파일이 포함되어 있는 것을 확인 wireshark로 blue.pcap파일을 열고 ctrl + F로 'png' String을 검색한다. 검색 시 맨 좌측에 Packet bytes로 변경 후 검색한다. 검색하면 특정 패킷에 특정됨을 확인할 수 있다. 패킷의 헤더를 보면 [02 0c 20] 으로 시작함을 알 수 있다. ctrl+F를 통해 추가적으로 Hex값을 검색해보면 해당 헤더 [02 0c 20]을 가진 6개의 패킷을 확인할 수 있다. 283, 288, 293, 298, 303, 308, 313 패킷에 대해 wiresha..

[NETWORK] chapter01 - 살인을 확인할 수 있습니까? 부검 파일에 서명해주세요. -> 손상된 pcap 파일 kill.pcapng 파일이 정상적으로 열리지 않는 것을 확인 pcap file을 우분투 docker로 복사하여 아래 명령 설치 및 실행 (pcapfix) # apt-get install pcapfix 복구가 완료되면 파일명에 'fixed_'문자열이 붙은 파일이 생성된다. docker를 빠져나온 뒤 복구한 pcap파일을 호스트로 복사 statistics - Conversations을 통해 두 host간 연결 정보 및 내용을 확인 TCP Stream으로 패킷 상세 내용 확인 -> jpg, mp4 파일을 전송한 내용 확인 jpg 파일의 시그니처 [FF D8 FF E0 xx xx 4A 46..

X 회사의 재정 정보를 훔치기 위해서 IU는 비밀리에 직장을 구했다. 그녀는 CFO의 컴퓨터를 공격하기로 결정한 후 사회 공학적 방법으로 악의적인 악성코드를 자신의 컴퓨터로 삽입하기로 결정했다. 그녀는 CFO가 퇴근할 때 컴퓨터를 끄지 않는다는 것을 알아냈다. CFO가 사무실에서 나간 후, 그녀는 CFO의 컴퓨터에서 재무자료를 얻고 EXCEL 파일을 검색한다. 그녀는 설치된 응용 프로그램을 확인해서 파일에서 정보를 찾을 수 있었다. 모든 추적을 제거하기 위해 그녀는 악성코드, 이벤트 로그 및 최근 파일 목록을 지웠다. X 회사는 적절한 조치를 취하기 위해 그녀가 어떤 정보를 훔쳤는지 밝혀야 한다. 이 파일들은 CFO의 컴퓨터에서 공격받은 파일들이다. 그녀가 훔친 파일의 전체 경로와 파일의 크기를 찾아라...

서울에 사는 IU가 특정 웹 사이트에서 SQL Injection 공격을 시도하자 갑자기 브라우저가 비정상적으로 종료됐다. 그녀가 입력하려고 했던 SQL Injection 값은 무엇이고 브라우저가 닫힌 시점은 언제인가? 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다. KEY Format : Injection_value|time(‘|’ 는 문자일 뿐이다.) 파일 확인(7z) 압축해제 후 user 폴더 확인 지문에서 범인이 SQL INJECTION 공격을 시도하다가 브라우저가 종료되었다고 한다. user 폴더에서 사용자 폴더 내 각 브라우저 데이터가 저장되는 폴더를 확인 브라우저 데이터 저장 경로 IE(Internet Explorer) C:\users\사용자\AppData\Roaming\Mic..

[DISK Forensic] IU는 악성코드에 의해 감염된 시스템을 조사하고 있다. 타임라인을 분석한 결과 2012년 2월 9일 이후 오염된 것으로 보인다. 오염된 경로는 웹 페이지 방문으로 판단된다. 아이유는 여러 사용자들의 인터넷 추적을 분석하고 있지만, 악성 URL을 찾지 못했다. 시스템이 감염됐을때 흔적이 지워졌을수도 있다. 정확한 악성 URL과 오염된 시간을 찾아라. 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다. KEY Format : malicious_URL|YYYY-MM-DDThh:mm:ss(‘|’ 는 문자일 뿐이다.) 파일 type 확인 및 압축 해제 압축 해제 후 아래 경로에 cookie라는 이름의 파일이 존재하는 것을 확인 -> 파일 시그니처 확인 디지털포렌식 with..

[DISK Forensic] 서울에 위치한 X 에너지 기업이 APT 공격을 받았다. 공격자 A는 6개월 동안 정교한 공격으로 중요한 정보를 훔쳤다. 공격자 A는 공격하는 동안 악성파일, 프리패치, 레지스트리 및 이벤트 로그와 같은 모든 흔적을 제거하기 위해 많은 노력을 기울이므로 X 에너지 기업에서 공격 경로를 찾기가 어려웠다. 하지만 포렌식 전문가인 IU는 MFT를 분석해서 공격자 A의 흔적을 찾을 수 있었다. 악성파일이 생성된 시간은 언제인가? 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다. KEY Format : YYYY-MM-DDThh:mm:ss.s(소수 점 이하 일곱 자리까지 계산하시오.) 사용도구 : HxD, 7zip, AnalyzeMFT master(cli-tool) 파일 확..

Find Key(slack) 사용도구 : sleuthKit 해당 이미지를 FTK Imager로 마운트하여 보았으나, 특이사항 발견하지 못함 -> sleuthKit의 blkls 명령어를 이용하여, 파일시스템 데이터에 key를 숨겨두는 방법(slack 공간)을 이용하지는 않았는지 확인한다. 슬랙공간이란 디스크 섹터에 데이터가 저장되고 남은 데이터 공간이다. 다른 데이터가 디스크에 기록되어도 슬랙 공간에 저장되지 않고 다른 섹터에 저장한다. 그렇기 때문에 이 슬랙 공간은 악성코드나 특정 데이터들을 숨기거나 기록하는데 악용되기도 한다. ubuntu에 sleuthKit을 설치하고 blkls 명령어를 통해 이미지에서 slack space에 숨겨둔 데이터를 분석한다. 41e7dbb0b1678c0c96a0b664501..

[DISK Forensic] Please get my key back! 사용도구 : HxD, binwalk, Firmware-mod-kit 파일 타입 확인 불가 HxD로 확인결과, type=firmware라는 문자열이 존재하는 것을 보아, 펌웨어 데이터로 추측 binwalk로 파일을 분석하면 해당 파일이 LZMA(Lempel-Ziv-Markov chain algorithm, 데이터 압축에 쓰이는 알고리즘으로 최대 4GB의 가변 압축 사전 크기를 제공) 방식으로 압축된 SquashFS(리눅스에서 사용되는 읽기 전용 파일 시스템. 주로 임베디드 시스템에서 사용) 데이터 인 것을 확인 펌웨어 이미지를 분석하기 위해 firmware mod kit을 이용 firmware mod kit (fmk)설치 http://..

판교 테크노밸리 K기업에서 기밀유출 사건이 발생했다. 현재 용의자의 시스템을 조사하는 중이다. 용의자의 인터넷 사용 패턴으로 용의자의 관심사를 파악하고자 한다. 용의자가 가장 많이 접근했던 사이트의 URL(http://aaa.bbb.cccc/)과 해당 URL에 마지막으로 접근한 시간(UTC+09:00)을 알아내시오. (1~2번 문제파일 : 2012_Secuwave F200.7z) 사용도구 : IE10Analyzer.exe KEY Format : URL(http://aaa.bbb.cccc/) KEY Format : yyyy-MM-dd_hh:mm:ss 브라우저 접속 정보 분석 필요 웹 브라우저 History - 접속URL/접속 횟수/마지막 접속 시간, 접속 페이지 등의 정보가 있음 압축 해제 7ester -..