센다이 CTF 2017 [Lab03] 타임라인 해석 100
문제
풀어 보았다.
문제를 다운로드하면 dd 파일이었습니다.
문제 문적으로 plaso를 사용하여 타임 라인을 보는 흐름이므로 plaso를 사용해 보겠습니다.
처음 사용합니다.
먼저 이미지 파일을 구문 분석하기 위해 다음 명령을 실행합니다.
잠시만 기다리겠습니다.
잘 된 것 같습니다.
이렇게하면 diskimage.dd를 db.plaso로 변환하는 과정을 수행하는 것 같습니다.
db.plaso는 plaso로 읽을 수 있는 형식입니다.
변환이 끝나면 타임라인을 만듭니다.
잠시만 기다리겠습니다.
성공한 것 같습니다.
문제문을 보면
どうやら、最初に実行されたダウンローダが、マルウェア本体をダウンロードし実行したことで、不審ホストとの通信が開始されたようです。
라고 적혀 있기 때문에
1 뭔가 exe 실행
2 어딘가에 통신 (exe? 다운로드)
3 다운로드한 것을 실행
4 부정 통신처에 통신 개시
라는 흐름이라고 생각합니다.
상기를 만족하는 곳을 찾아내면 된다고 합니다.
라고 생각하면 로그의 수가 너무 많아서 어쩔 수 없기 때문에, 조금 방침을 바꿉니다.
적어도 시기를 알면 로그를 줄일 수 있습니다.
WEBSITE의 통신 로그로 좁혀 URL의 마지막이 .exe가 되어 있는 것을 찾아 보았습니다만, 없음.
통신 로그만 살펴보면
라는 이상한 통신을 확인할 수 있었습니다. 그냥 정말 수상한지 여부는 알 수 없습니다.
에스퍼로 할 수밖에 없기 때문에, 여기에서는 부정한 통신으로서 둡니다.
「giwiz-newstop.c.yimg.jp」의 최초의 통신을 알고 싶기 때문에 검색합니다.
처음에는 알았는데 그 직전에 뭔가 실행되고있는 것은 아니었기 때문에 부정하지 않을 것 같습니다.
조금 래치가 모르기 때문에, 보통으로 이미지를 본 것이 빠르 것 같습니다.
FTK Imager를 사용하여 이미지를 로드합니다.
데스크톱에 송장 .exe가 있었지만, 이것은 문제 문장에 쓰여진대로, 악성 코드 만 어디에 문제와 관련이 없습니다.
바탕 화면에 또 다른 수상한 폴더가 있으므로 내용을 살펴 보겠습니다.
타임 라인에서 검색하여 몇 가지 히트했지만 어쩐지 확실하지 않았습니다.
하지만 대답에 넣어 보면 정답이었습니다. . .
이것은 불완전 연소입니다. . .
Reference
이 문제에 관하여(센다이 CTF 2017 [Lab03] 타임라인 해석 100), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/samohan/items/438624675bfa947b1f03
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
문제를 다운로드하면 dd 파일이었습니다.
문제 문적으로 plaso를 사용하여 타임 라인을 보는 흐름이므로 plaso를 사용해 보겠습니다.
처음 사용합니다.
먼저 이미지 파일을 구문 분석하기 위해 다음 명령을 실행합니다.
잠시만 기다리겠습니다.
잘 된 것 같습니다.
이렇게하면 diskimage.dd를 db.plaso로 변환하는 과정을 수행하는 것 같습니다.
db.plaso는 plaso로 읽을 수 있는 형식입니다.
변환이 끝나면 타임라인을 만듭니다.
잠시만 기다리겠습니다.
성공한 것 같습니다.
문제문을 보면
どうやら、最初に実行されたダウンローダが、マルウェア本体をダウンロードし実行したことで、不審ホストとの通信が開始されたようです。
라고 적혀 있기 때문에
1 뭔가 exe 실행
2 어딘가에 통신 (exe? 다운로드)
3 다운로드한 것을 실행
4 부정 통신처에 통신 개시
라는 흐름이라고 생각합니다.
상기를 만족하는 곳을 찾아내면 된다고 합니다.
라고 생각하면 로그의 수가 너무 많아서 어쩔 수 없기 때문에, 조금 방침을 바꿉니다.
적어도 시기를 알면 로그를 줄일 수 있습니다.
WEBSITE의 통신 로그로 좁혀 URL의 마지막이 .exe가 되어 있는 것을 찾아 보았습니다만, 없음.
통신 로그만 살펴보면
라는 이상한 통신을 확인할 수 있었습니다. 그냥 정말 수상한지 여부는 알 수 없습니다.
에스퍼로 할 수밖에 없기 때문에, 여기에서는 부정한 통신으로서 둡니다.
「giwiz-newstop.c.yimg.jp」의 최초의 통신을 알고 싶기 때문에 검색합니다.
처음에는 알았는데 그 직전에 뭔가 실행되고있는 것은 아니었기 때문에 부정하지 않을 것 같습니다.
조금 래치가 모르기 때문에, 보통으로 이미지를 본 것이 빠르 것 같습니다.
FTK Imager를 사용하여 이미지를 로드합니다.
데스크톱에 송장 .exe가 있었지만, 이것은 문제 문장에 쓰여진대로, 악성 코드 만 어디에 문제와 관련이 없습니다.
바탕 화면에 또 다른 수상한 폴더가 있으므로 내용을 살펴 보겠습니다.
타임 라인에서 검색하여 몇 가지 히트했지만 어쩐지 확실하지 않았습니다.
하지만 대답에 넣어 보면 정답이었습니다. . .
이것은 불완전 연소입니다. . .
Reference
이 문제에 관하여(센다이 CTF 2017 [Lab03] 타임라인 해석 100), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/samohan/items/438624675bfa947b1f03텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)