N0cT1s41

해당 문제는 CyberDefenders의 RedLine Lab 문제에 대한 풀이입니다.1. Challenge descriptionAs a member of the Security Blue team, your assignment is to analyze a memory dump using Redline and Volatility tools. Your goal is to trace the steps taken by the attacker on the compromised machine and determine how they managed to bypass the Network Intrusion Detection System "NIDS". Your investigation will involve identi..

보호되어 있는 글입니다.

해당 문제는 root me의 Command & Control문제에 대한 풀이입니다.해당 문제를 읽어보면 dump 파일을 조사해야하는 것으로 volatility3을 사용하면 될 것 같다.문제의 정답을 hostname을 찾으면 되는 것으로 hostname이 나올법한 부분만 추출하고 조사하였다.우서 windows.info를 통해 Windows 메모리 덤프 파일에서 기본 시스템 정보를 출력해 보았다.이 플러그인은 시스템의 기본적인 정보, 커널 버전, 운영 체제 버전, 시스템 시간, 시스템 루트 디렉토리, 제품 유형 등 다양한 중요한 데이터를 제공한다.음 딱히 찾을만한 정보를 없었다.그럼 다음으로는 windows.registry.printkey를 사용해보겠다.registry 경로는 ControlSet001\Ser..

해당 문제는 CyberDefenders의 Reveal 문제에 대한 풀이입니다.1. Challenge descriptionAs a cybersecurity analyst for a leading financial institution, an alert from your SIEM solution has flagged unusual activity on an internal workstation. Given the sensitive financial data at risk, immediate action is required to prevent potential breaches. Your task is to delve into the provided memory dump from the compromised ..

해당 포스트에서는 Volatility Contest2018에서의 OlympicDestroyer 문제에 대한 분석입니다. 0. 배경1. 운영체제 식별 해당 파일을 다운로드하여 이미지의 정보를 확인명령어:volatility_2.6_win64_standalone.exe -f '.\Windows 7-1a1299dc.vmem' imageinfo2. 프로세스 확인위 imageinfo 사진에 Suggested Profile(s) 부분에 있는 운영체제 버전 중 아무거나 선택해서 프로세스에 대해 분석을 해보겠다.명령어:volatility_2.6_win64_standalone.exe -f '.\Windows 7-1a1299dc.vmem' --profile=Win7SP1x86 pslist > pslist.log pslist..

해당 포스트에서는 CTF-D의 GrrCon 2015 #1 문제에 대한 분석입니다.해당 문제를 제공하는 사이트는 현재 막혀있는 상태로 파일 다운을 원하고자 하면 댓글 남겨주세요.1. 운영체제 식별해당 파일을 다운로드하여 이미지의 정보를 확인명령어: volatility_2.6_win64_standalone.exe -f .\Target1-1dd8701f.vmss imageinfo2. 프로세스 확인위 imageinfo 사진에 Suggested Profile(s) 부분에 있는 운영체제 버전 중 아무거나 선택해서 프로세스에 대해 분석을 해보겠다.명령어:volatility_2.6_win64_standalone.exe -f .\Target1-1dd8701f.vmss --profile=Win7SP1x86 pslist >..