N0cT1s41

침해대응2 회사 내부망의 컴퓨터를 원격으로 이용하던 직원이 어느 날 컴퓨터의 속도가 미세하게 느려 졌음을 감지했다. 그는 컴퓨터를 면밀히 조사했으나 아무 이상을 발견하지 못했고, 결국 컴 퓨터를 이미징하여 당신에게 분석을 의뢰했다. 분석가인 당신은 이 컴퓨터가 느려진 원인을 파악해야 한다. 문제 : (1) 키로그와 스크린샷의 저장경로 (ex, [root]/xxx/yyy) (2) 악성코드가 정보수집용 프로세스를 최초 호출한 시각 UTC+9 (Ex, YYYY-MM-DD-HH:MM:SS) (3) 악성코드가 정보를 전송하는 주소flag 형식 = FIESTA{(1)_(2)_(3)} 해당 문제 압축파일을 열어보니 slowww.E01, mem.vrms 파일이 있었다. mem.vrms를 준 것 보니 volatility..

침해대응1 직원 A씨는 어느 날 PC가 랜섬웨어에 감염된 사실을 알게되었다. 랜섬웨어에 의해 잠긴 파티션 속에는 중요한 대외비 자료가 보관 중이었다. 이에 긴급하게 분석을 맡기게 되었고, 당신은 해당 자료를 무사히 복구해야 하는 상황에 처했다. 문제 : (1) dll인젝션에 사용된 dll 파일명 (.dll 포함) (2) 비트라커의 평문키 (3) 암호화된 파티션 내부 설계도면에 적힌 가격 flag 형식 = FIESTA{()_()_()} 1번 문제부터 보면 dll 인젝션에 사용된 dll 파일을 찾는 문제이다. 일단 VM으로 해당 이미지를 확인하니 랜섬웨어에 감염되어있고 파티션 하나는 BitLocker로 잠겨 있는걸 확인했다. 또한 "국내코로나19재감염사례현황"이라는 의심스러워보이는 PDF가 존재했다.그래서 ..