N0cT1s41

침해대응2 회사 내부망의 컴퓨터를 원격으로 이용하던 직원이 어느 날 컴퓨터의 속도가 미세하게 느려 졌음을 감지했다. 그는 컴퓨터를 면밀히 조사했으나 아무 이상을 발견하지 못했고, 결국 컴 퓨터를 이미징하여 당신에게 분석을 의뢰했다. 분석가인 당신은 이 컴퓨터가 느려진 원인을 파악해야 한다. 문제 : (1) 키로그와 스크린샷의 저장경로 (ex, [root]/xxx/yyy) (2) 악성코드가 정보수집용 프로세스를 최초 호출한 시각 UTC+9 (Ex, YYYY-MM-DD-HH:MM:SS) (3) 악성코드가 정보를 전송하는 주소flag 형식 = FIESTA{(1)_(2)_(3)} 해당 문제 압축파일을 열어보니 slowww.E01, mem.vrms 파일이 있었다. mem.vrms를 준 것 보니 volatility..

침해대응1 직원 A씨는 어느 날 PC가 랜섬웨어에 감염된 사실을 알게되었다. 랜섬웨어에 의해 잠긴 파티션 속에는 중요한 대외비 자료가 보관 중이었다. 이에 긴급하게 분석을 맡기게 되었고, 당신은 해당 자료를 무사히 복구해야 하는 상황에 처했다. 문제 : (1) dll인젝션에 사용된 dll 파일명 (.dll 포함) (2) 비트라커의 평문키 (3) 암호화된 파티션 내부 설계도면에 적힌 가격 flag 형식 = FIESTA{()_()_()} 1번 문제부터 보면 dll 인젝션에 사용된 dll 파일을 찾는 문제이다. 일단 VM으로 해당 이미지를 확인하니 랜섬웨어에 감염되어있고 파티션 하나는 BitLocker로 잠겨 있는걸 확인했다. 또한 "국내코로나19재감염사례현황"이라는 의심스러워보이는 PDF가 존재했다.그래서 ..

해당 문제는 CyberDefenders의 RedLine Lab 문제에 대한 풀이입니다.1. Challenge descriptionAs a member of the Security Blue team, your assignment is to analyze a memory dump using Redline and Volatility tools. Your goal is to trace the steps taken by the attacker on the compromised machine and determine how they managed to bypass the Network Intrusion Detection System "NIDS". Your investigation will involve identi..

해당 문제는 CyberDefenders의 The Crime Labr문제에 대한 풀이입니다.1. Challenge descriptionWe're currently in the midst of a murder investigation, and we've obtained the victim's phone as a key piece of evidence. After conducting interviews with witnesses and those in the victim's inner circle, your objective is to meticulously analyze the information we've gathered and diligently trace the evidence to piece tog..

보호되어 있는 글입니다.

해당 문제는 root me의 Command & Control - level 5 문제에 대한 풀이입니다.사실 이 문제는 좀 쉬웠다.volatility3으로 PC 계정을 찾고 hashdump로 패스워드를 찾으면 될거 같은 문제였다.cmdline의 결과를 추출해서 보던 중 John Doe를 보고 사용자 계정이라는 것을 추측했다.후에 hashdump를 이용해 사용자와 암호화된 패스워드를 확인했고 복호화까지 해줬다.사실 이 문제는 시작부터 hashdump를 통해 풀 수 있었지만 처음부터 그 생각을 못했었다.