N0cT1s41

증거수집 절차1. 디지털 포렌식 조사 준비 단계디지털 포렌식 조사는 사건 발생 전에 철저한 준비가 필수적입니다. 준비 단계에서는 다음과 같은 작업이 이루어집니다:도구 및 장비 점검: 수사에 필요한 도구와 장비를 점검하고 사용법과 기술적 한계를 학습합니다.조사팀 구성 및 교육: 권한 획득, 팀 구성, 도구 개발 및 검증, 분석 기술 교육을 진행합니다.압수·수색 계획: 사건 개요를 파악하고 대상 시스템과 네트워크 유형을 확인하여 조사 과정에서 발생할 수 있는 문제를 최소화합니다.조사팀은 과잉금지의 원칙을 준수하며 최소한의 범위 내에서만 데이터를 수집해야 합니다. 또한 공정성과 무결성을 보장하기 위해 공증 인원의 참여가 필수적입니다.2. 디지털 포렌식 증거 수집 단계증거 수집은 사건 현장에서 체계적으로 이루어..

해당 문제는 CyberDefenders의 Sysinternals Lab 문제에 대한 풀이입니다.1. Challenge descriptionA user thought they were downloading the SysInternals tool suite and attempted to open it, but the tools did not launch and became inaccessible. Since then, the user has observed that their system has gradually slowed down and become less responsive. As a SOC Analyst, analyze the artifacts and answer the questions. Q1. ..

보호되어 있는 글입니다.

침해대응2 회사 내부망의 컴퓨터를 원격으로 이용하던 직원이 어느 날 컴퓨터의 속도가 미세하게 느려 졌음을 감지했다. 그는 컴퓨터를 면밀히 조사했으나 아무 이상을 발견하지 못했고, 결국 컴 퓨터를 이미징하여 당신에게 분석을 의뢰했다. 분석가인 당신은 이 컴퓨터가 느려진 원인을 파악해야 한다. 문제 : (1) 키로그와 스크린샷의 저장경로 (ex, [root]/xxx/yyy) (2) 악성코드가 정보수집용 프로세스를 최초 호출한 시각 UTC+9 (Ex, YYYY-MM-DD-HH:MM:SS) (3) 악성코드가 정보를 전송하는 주소flag 형식 = FIESTA{(1)_(2)_(3)} 해당 문제 압축파일을 열어보니 slowww.E01, mem.vrms 파일이 있었다. mem.vrms를 준 것 보니 volatility..

침해대응1 직원 A씨는 어느 날 PC가 랜섬웨어에 감염된 사실을 알게되었다. 랜섬웨어에 의해 잠긴 파티션 속에는 중요한 대외비 자료가 보관 중이었다. 이에 긴급하게 분석을 맡기게 되었고, 당신은 해당 자료를 무사히 복구해야 하는 상황에 처했다. 문제 : (1) dll인젝션에 사용된 dll 파일명 (.dll 포함) (2) 비트라커의 평문키 (3) 암호화된 파티션 내부 설계도면에 적힌 가격 flag 형식 = FIESTA{()_()_()} 1번 문제부터 보면 dll 인젝션에 사용된 dll 파일을 찾는 문제이다. 일단 VM으로 해당 이미지를 확인하니 랜섬웨어에 감염되어있고 파티션 하나는 BitLocker로 잠겨 있는걸 확인했다. 또한 "국내코로나19재감염사례현황"이라는 의심스러워보이는 PDF가 존재했다.그래서 ..

해당 문제는 CyberDefenders의 RedLine Lab 문제에 대한 풀이입니다.1. Challenge descriptionAs a member of the Security Blue team, your assignment is to analyze a memory dump using Redline and Volatility tools. Your goal is to trace the steps taken by the attacker on the compromised machine and determine how they managed to bypass the Network Intrusion Detection System "NIDS". Your investigation will involve identi..