pkse74 님의 블로그

Downloads폴더 안에 telegram desktop안에 악성파일이 있는 것을 볼 수 있다.답 : Telegram$Logfile,$J, $MFT NTFS 아티팩트들을 추출한 뒤 NTFS Logtracker로 파싱을 하고 db browser로 살펴보면SANS가 언제 만들어졌는지 확인가능하다.UTC+9로 만든 것이기 때문에 정답은 -9시 해줘야 한다답 : 2024-02-03 07:33:20FTK Imager로 SANS의 해시값을 뽑아낸 뒤 바이러스 토털에 올려본다.답 : CVE-2023-38831DB browser에서 찾아보면 나온다.답 : SANS SEC401.pdf. cmdStrings로 SANS. cmd 파일을 살펴보면 찾을 수 있다.답 : http://172.18.35.10:8000/amanwho..

문제파일은 bob.vmem으로 메모리 분석을 하는 것이다음 볼라틸리티오류로 나중에

문제파일을 압축을 풀면 파일해시가 있고 내용을 살펴 보면 안에 해시를 바이러스 토탈, 하이브리드 어날리시스에 넣어서 문제를 풀으라고 한다.바이러스토탈에 해시값을 넣어보면 마이크로소프트는 트로이 목마로 분류해놓은것을 확인할수가있다.답 : Trojan답 : WEXTRACT세부 사항으로 들어가서 보면 History에 First Submission 부분을 체크하면 된다.답 : 2023-10-06 04:41행동 항목을 확인해보면 MITRE ATT&CK Tatics를 확인할수있다. 우리가 확인해야할 사항은 데이터 유출하기전에 수집하는 기법ID를 찾는것이다.수집이므로 Collection에서 Data from Local System -> 로컬시스템에서 데이터 수집 이 항목이 되겠다.답 : T1005Relations 탭..

https://pkse74.tistory.com/21 Cyberdefenders - Web Investigation Lab문제를 다운로드 받고 Wireshark로 열어준다wireshark를 열어서 찾다보면 111.224.250.131 이 uri 파라미터로 sql 쿼리문을 넣는것으로 보아 공격하려는 의도가 보인다.답 : 111.224.250.131https://www.geolocation.com/pkse74.tistory.comhttps://pkse74.tistory.com/22 Cyberdefenders - Reveal Lab메모리 분석하는 문제인거같다.python vol.py -f .\192-Reveal.dmp windows.cmdline파워쉘로 수상한 명령어를 입력한것을 볼수가있다.답 : powers..

상당한 많은 파일들을 분석해야한다.e01,e02,e03,e04 같은경우 FTK Imager로 열어서 분석해야할것이고pcav같은경우 wireshark로 열어서 분석하고mem 같은경우 볼라틸리티로 분석을할거 같다이제 운영체제 관련이나오면 기본적으로 레지를 뽑아야하는거같은데windows/system32/config 폴더에있는SYSYEM, SOFTWARE, SECURITY, SAM 이것을 뽑아놓고 레지분석기로 돌려놓자나는 20200918_0417_DESKTOP-SDN1RPT.E01의 레지값을 뽑아서 돌려봣다free 6.3을 입력했는데 정답이아니란다서버가 아닌가? 해서 다른 이미지파일을 열어봐서 추출했다20200918_0347_CDrive.eo1의 레지를 뽑아서 열어봤다아 다른파일은 윈도우즈 서버라고 적혀있다그래..

메모리 분석하는 문제인거같다.python vol.py -f .\192-Reveal.dmp windows.cmdline파워쉘로 수상한 명령어를 입력한것을 볼수가있다.답 : powershell.exepython vol.py -f .\192-Reveal.dmp windows.pslistPID PPID순이다답 : 4120python vol.py -f .\192-Reveal.dmp windows.cmdline답 : 3435.dlldavwwwroot에 접근중인것을 그대로 확인할수있다.답 : davwwwroothttps://attack.mitre.org/tactics/TA0005/답 : T1218.011python vol.py -f 192-Reveal.dmp windows.getsidsid 맨끝이 1000번대로 시작..

문제를 다운로드 받고 Wireshark로 열어준다wireshark를 열어서 찾다보면 111.224.250.131 이 uri 파라미터로 sql 쿼리문을 넣는것으로 보아 공격하려는 의도가 보인다.답 : 111.224.250.131https://www.geolocation.com/ko/indexGoogle에 IP로 지리적위치 찾기하면 나오는사이트다여기에 공격자의 IP를 입력해 찾으면 나온다답 : Shijiazhuang 취약한 php사이트를 확인하기 위해 http.request.uri contains ".php" // http request uri에서 .php를 포함한것을 필터링해라해서 찾아보면 search.php에 파라미터값에 sql 쿼리문을 삽입하는것을 볼수있다. 취약한 php 사이트이기에 가..

https://pkse74.tistory.com/18 오프라인 스터디 실습 2주차보호되어 있는 글입니다. 내용을 보시려면 비밀번호를 입력하세요.pkse74.tistory.comhttps://pkse74.tistory.com/17 Cyberdefenders - WebStrike Lab카테고리 : Network Forensic도구 : Wireshark목적은 PCAP을 분석하여 어떤 행동들을 했는지 분석하는 것이다.Wireshark와 Vmware를 따로 설치할 필요는 없고 문제 파일 받는 곳에 있던 곳에 가상 환경을 열 수pkse74.tistory.comhttps://pkse74.tistory.com/16 Cyberdefenders - The Crime LabALEAPP 을사용해 문제를 풀어보겠다.살인사건이 ..

이번 문제는 난이도가 Medium 이라 한다Tools가 굉장히 많다 대충 파악할수 있는건Registy Explorer -> 레지분석Event Log Explorer -> 이벤트로그 분석AppCompatCachParser -> Shimecache 분석 하는거같고VirusTotal -> 악성코드인지 확인할수있는거같고FTK Imager -> 이걸로 구조파악을 해서 풀라는거같고Web Cache View -> 웹브라우저 캐시 쉽게 보는거같고Autopsy -> 하드디스크, USB, 메모리 카드 등 저장장치를 분석해서 삭제된 파일, 웹 활동, 타임라인, 사용자 활동 등을 추적할 수 있는 디지털 포렌식 도구입니다. 흐름이 대충1. FTK Imager로 구조 파악하고2. reg,log,cache 등등 분석해서3. vir..

보호되어 있는 글입니다.