CorporateSecrets Lab

해당 문제는 CyberDefenders의 CorporateSecrets Lab 문제에 대한 풀이입니다

---

Q1.
What is the current build number on the system?

FTK Imager를 통해 SOFTWARE를 추출하고 Registry Explorer로 열어 Current Version-Current Build Number를 보면 확인 할 수 있다.

---

Q2.
How many users are there?

FTK Imager에서 Users를 확인하면 사용자를 확인 할 수 있다.

---

Q3.
What is the CRC64 hash of the file "fruit_apricot.jpg"?

CRC-64 hash cheksum이라 검색해보니 Toolkit Bay 사이트를 확인할 수 있었다.

---

Q4.
What is the logical size of the file "strawberry.jpg" in bytes?

FTK Imager를 통해 크기를 확인 할 수 있다.

---

Q5.
What is the processor architecture of the system? (one word)

FTK Imager를 통해 windows-system32-config 에서 system을 추출해주고 Registry Explorer에서 열어준 후

ROOT-ControlSet001-Control-Session Manager-Environment 경로로 이동해주면 확인 할 수 있다.

---

Q6.
Which user has a photo of a dog in their recycling bin?

개 이미지를 찾기 위해 $Recycle.Bin에서 하나하나 찾아봤다.

그러던 중 이미지를 찾을 수 있었고 Owner Name을 찾을 수 있었다.

---

 

Q7.
What type of file is "vegetable"? Provide the extension without a dot.

miriam.grapes 아래에 Pictures vegetable 파일이 있다.

해당 파일의 시그니처를 보면 답을 알 수 있었다.

Q8.
What type of girls does Miriam Grapes design phones for (Target audience)?

이것을 처음 봤을 때 사용자가 관련해서 검색을 했을것이라 생각했다.

Miriam Grapes - Mozilla - Firefox - Profiles - 9far2v52.default-release - places.sqlite

경로의 파일을 추출하여 sqlite에 넣고 확인해보니 특정 단어를 검색한 history를 확인할 수 있었다.

---

Q9.
What is the name of the device?

Registy Explorer에서 ROOT-ControlSet001-Control-ComputerName-ComputerName을 확인 하면 알 수 있다.

---

Q10.
What is the SID of the machine?

해당 문제를 알기 위해선 사용자 그룹 정보에 대한 내용이 포함되어있는 sam 레지스트리를 추출하여 Registry Explorer에 넣어주었고 아래와 같은 경로로 이동해 확인해 주었다.

SAM - Domains - Aliases

---

Q11.
How many web browsers are present?

보통 각 user의 appdate local 부분에 웹브라우저를 볼 수 있어 계산을 했고 추가적으로 roaming 부분에 mozilla 즉 firefox 웹 브라우저도 있어 계산을 해보니 5개가 있었다. 하지만 해당 문제가 답이라는 확신은 가지지 못했다.

---

Q12.
How many super secret CEO plans does Tim have? (Dr. Doofenshmirtz Type Beat)

 tim.apple user에 Document를 확인해보면 secret.odt 파일이 있는것을 알 수 있다.

그래서 해당 파일을 추출 후 열어보니 3가지의 내용이 있었다.

오답이였고 고민을 하다 hint를 확인해보니 hidden데이터를 포함하고 있다고 한다.

---

Q13.
Which employee does Tim plan to fire? (He's Dead, Tim. Enter the full name - two words - space separated)

---

Q14.
What was the last used username? (I didn't start this conversation, but I'm ending it!)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CunrrentVersion\Winlogon을 확인하면 LastUsedUsername을 확인 할 수 있다.

---

Q15.
What was the role of the employee Tim was flirting with?

---

Q16.
What is the SID of the user "suzy.strawberry"?

10번 문제와 유사하게 SAM - Domains - Aliases 말고 SAM - Domains - Account - Users를 통해 확인 할 수 있엇다.

---

Q17.
List the file path for the install location of the Tor Browser.

TOR.EXE는 훓어보다가 아래와 같은 경로에 있다는 것을 확인했다.

하지만 정답 문자열이 C:\는 확정인것 같아 C:\Program1을 입력했다.

---

Q18.
What was the URL for the Youtube video watched by Jim?

Jim에 들어가 

%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\history를 추출 해준다.

이후 sqlite를 통해 해당 파일을 열어주고 확인하면 답을 알 수 있었다.

---

Q19.
Which user installed LibreCAD on the system?

사용자 다운로드 목록을 찾다보면 발견할 수 있다.

---

Q20.
How many times "admin" logged into the system?

REGA 도구를 통해 사용자 계정정보를 확인하면 로그인한 횟수를 알 수 있다.

---

Q21.
What is the name of the DHCP domain the device was connected to?

DHCP 도메인 정보는 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\

경로의 레지스트리에서 확인할 수 있다. REGA 도구를 이용해 확인했다.

---

Q22.
What time did Tim download his background image? (Oh Boy 3AM . Answer in MM/DD/YYYY HH:MM format (UTC).)

해당 문제는 FTK에서 tim.apple의 hqdefault.jpg의 시간을 보면 확인 할 수 있다.

---

Q23.
How many times did Jim launch the Tor Browser?

---

Q24.
There is a png photo of an iPhone in Grapes's files. Find it and provide the SHA-1 hash.

Grapes User 내에 있는 이미지 중 iphone와 관련된 이미지는 없어보였다.

일단 모든 이미지는 다 SHA-1 값을 넣어 답을 확인했지만 모두 오답이였다.

Download 폴더 안에 samplePhone.jpg 파일을 확인했고 해당 파일은 이미지가 보이지 않았다.

이 부분이 조금은 수상해 추출 후 HxD로 열어주어 png 시그니처를 찾아주었다.

해당 이미지 내에는 png 파일이 스테가노그래피 되어있는것을 알 수 있었고 해당 이미지를 새로 저장 후 SHA-1 값을 확인해 주었다.

---

Q25.
When was the last time a docx file was opened on the device? (An apple a day keeps the docx away. Answer in UTC, YYYY-MM-DD HH:MM:SS)

해당 문제를 풀기 위해서는  NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 를 확인해주면 된다. 다만 어떤 사용자의 NTUSER.DAT을 추출해야 할 지 모르기에 모두 다 추출해주었고 하나하나 비교해주었다.

그러던 중 Jim 사용자의 파일이 가장 늦다는 것을 확인했다.

---

Q26.
How many entries does the MFT of the filesystem have?

해당 질문은 FTK Imager에서 $MFT의 크기를 확인하면 답을 알 수 있다.

---

Q27.
Tim wanted to fire an employee because they were ......?(Be careful what you wish for)

Tim의 chrome history를 추출하였고 내용을 확인해주니 해고를 원하는 이유를 추측 할 수 있었다.

---

 

Q28.
What cloud service was a Startup item for the user admin?

Startup이란 단어를 보고 바로 시작프로그램 즉 자동 실행 레지스트리를 가야겠다고 생각이 들었다.

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run

---

Q29.
Which Firefox prefetch file has the most runtimes? (Flag format is )

winprefetchview를 통해 firefox 를 확인했고 가장 run counter가 많은 것을 답에 넣어줬다.

---

Q30.
What was the last IP address the machine was connected to?

SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{GUID}

위 경로로 가면 각 인터페이스에 대해 마지막으로 알려진 IP 주소 (정적 또는 DHCP 할당)를 추출할 수 있습니다 .

REGA를 통해 확인하였습니다.

---

Q31.
Which user had the most items pinned to their taskbar?

C:\Users\<Username>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

위 경로로 이동하면 확인 할 수 있다.

사용자마다 비교하여 확인하였다.

---

Q32.
What was the last run date of the executable with an MFT record number of 164885? 
(Format: MM/DD/YYYY HH:MM:SS (UTC).)

MFTECmd 도구를 이용해 164885번 MFT 레코드의 파일을 확인해주었다.

이후 해당 파일의 프리패치를 확인하여 가장 마지막으로 실행된 시간을 확인했고 프리패치에 UTC+9가 되어있기에 9시간을 빼준 뒤 답을 입력했다.

---

 

후기 문제가 별로여서 중간에 끝