시나리오를 보면
캐런 - 불법 활동
나 - 분석가
캐런의 불법활동을 이제 디스크이미지파일을 받아서 분석하면 되는 것이다
FTK Imager를 사용하라 했으니 FTK로 열어보면
파일은 여기서 다운로드할 수 있다.
우선 FTK Imager에서
File - Add Evidence Item - Image File - [ 다운로드한 ad1 파일 ] - Finish 해서 열어보면
여기서 분석을 이제 하면 된다
부팅 시 운영체제 로그도 확인될 거 같아서 syslog를 살펴보니 나왔다
log파일들은 /root/var/log에 다 들어있으니 경로로 찾아가서 access.log의 속성을 확인해 보면 된다
Properties 창이 안 보인다면 프로그램상단 메뉴에 View - Properties 선택하면 된다
다운로드된 파일이라 하니까 우선 download 폴더를 확인해 보자
미미카츠가 다운로드하여져 있는 걸 확인할 수가 있다
맨 처음에 모든 경로를 확인해 보고 로그도 확인해 봤지만 보이질 않아서
쉘에 입력한 명령어를 보기 위해 bash_history를 찾아보았다
내용을 살펴보면 /root/Desktop/SuperSecertFile.txt이라고 나와있다
bash_history내용을 내려보면
binwalk로 사용하였다
막일로 checklist가 어디 있는지 찾아보니
profit인 것을 확인할 수가 있었다.
Apache가 몇 번 실행되었는지를 확인해 보려면 apache의 로그를 살펴보면 되는데
둘의 로그가 0인 것으로 보아 0번 실행되었다.
여러 파일을 다 찾아봤는데 공격했다는 증거가 되는 걸 찾기 힘들었는데
수상한 이미지파일이 있어 봤더니
bob의 폴더에서 /Temp/라는 임시폴더 안에 프로그램을 시작한 거부터 이상한 것을 확인할 수가 있다.
문서디렉터리로 가서 보면
저런 파일들이 있는데 그중에서 bash스크립트라는 것을 보니 firstscript, firstscript_fixed 중 누군가를 조롱한 것인지 확인할 수 있을 거 같다
firstscript_fixed에서 마지막 내용을 보면 Young을 조롱한 것을 확인할 수가 있다.
su 명령어를 실행한 로그를 확인해 보면 된다. 로그는 auth.log에 들어있다
postgres인 것을 확인 가능하다
마찬가지로 bash_history를 확인해 보면 쉘 명령어 확인 것을 볼 수 있는데
cd 명령어 위주로 확인해서 찾아서 유추할 수 있다.
myfirsthack에서 작업하고 나온 것을 확인할 수 있다.
시나리오 가설
- Karen이라는 내부자가 Kali Linux 환경에서
- 불법적인 툴(Mimikatz)을 활용하고
- bash 스크립트를 통해 동료를 조롱하거나 원격 시스템에 침입했으며
- 루트 권한을 얻고
- 비인가된 파일을 만들면서
- 내부자 위협으로 의심되는 행동을 연속적으로 벌였음.
'K-Shield 주니어 > 스터디CTF' 카테고리의 다른 글
| Cyberdefenders - WebStrike Lab (0) | 2025.04.16 |
|---|---|
| Cyberdefenders - The Crime Lab (0) | 2025.04.15 |
| 1. Dreamhack Wargame (518) - 스테가노그래피 (추후 수정) (0) | 2025.04.11 |
| 1. Net-Force Challenges - Steganography(6) (0) | 2025.04.11 |
| 1. Net-Force Challenges - Steganography(3) (0) | 2025.04.08 |