FIESTA 2024 - 침해대응 1 write-up
침해대응1 직원 A씨는 어느 날 PC가 랜섬웨어에 감염된 사실을 알게되었다. 랜섬웨어에 의해 잠긴 파티션 속에는 중요한 대외비 자료가 보관 중이었다. 이에 긴급하게 분석을 맡기게 되었고, 당신은 해당 자료를 무사히 복구해야 하는 상황에 처했다. 문제 : (1) dll인젝션에 사용된 dll 파일명 (.dll 포함) (2) 비트라커의 평문키 (3) 암호화된 파티션 내부 설계도면에 적힌 가격 flag 형식 = FIESTA{()_()_()} 1번 문제부터 보면 dll 인젝션에 사용된 dll 파일을 찾는 문제이다. 일단 VM으로 해당 이미지를 확인하니 랜섬웨어에 감염되어있고 파티션 하나는 BitLocker로 잠겨 있는걸 확인했다. 또한 "국내코로나19재감염사례현황"이라는 의심스러워보이는 PDF가 존재했다.그래서 ..
RedLine Lab
해당 문제는 CyberDefenders의 RedLine Lab 문제에 대한 풀이입니다.1. Challenge descriptionAs a member of the Security Blue team, your assignment is to analyze a memory dump using Redline and Volatility tools. Your goal is to trace the steps taken by the attacker on the compromised machine and determine how they managed to bypass the Network Intrusion Detection System "NIDS". Your investigation will involve identi..
The Crime Lab
해당 문제는 CyberDefenders의 The Crime Labr문제에 대한 풀이입니다.1. Challenge descriptionWe're currently in the midst of a murder investigation, and we've obtained the victim's phone as a key piece of evidence. After conducting interviews with witnesses and those in the victim's inner circle, your objective is to meticulously analyze the information we've gathered and diligently trace the evidence to piece tog..
보호되어 있는 글입니다.
Command & Control - level 5
해당 문제는 root me의 Command & Control - level 5 문제에 대한 풀이입니다.사실 이 문제는 좀 쉬웠다.volatility3으로 PC 계정을 찾고 hashdump로 패스워드를 찾으면 될거 같은 문제였다.cmdline의 결과를 추출해서 보던 중 John Doe를 보고 사용자 계정이라는 것을 추측했다.후에 hashdump를 이용해 사용자와 암호화된 패스워드를 확인했고 복호화까지 해줬다.사실 이 문제는 시작부터 hashdump를 통해 풀 수 있었지만 처음부터 그 생각을 못했었다.
Windows - NTDS Secret extraction
해당 문제는 root me의 Windows - NTDS Secret extraction 문제에 대한 풀이입니다.보통의 Windows의 Active Directory(AD)에서 NTDS.dit 파일과 레지스트리 백업을 가지고 NTDS 비밀을 추출하는 과정은 복잡하지만 impact의 setcretsdump.py를 통해 krbtgt 계정의 AES256-CTS-HMAC-SHA1-96 키를 쉽게 추출할 수 있다. 우선 window에서 setcretsdump.py를 실행하기 위해 impact를 설치해야 했다..해당 github에서 Download ZIP으로 설치 후 압축을 풀어준다. 후에 cmd로 이동 후 압축을 푼 파일로 이동을 해서 아래와 같이 build를 진행해준다.후에 setcretsdump.py가 있는 폴..