센다이 CTF 2019 Opw6.C2 서버 100
문제
풀어 보았다.
① 감염 단말기에서 흔적을 찾는 방법.
②멀웨어로부터 통신처를 찾는 방법.
의 2가지가 있는 것 같습니다만, Windows의 가상 머신을 가지고 있지 않기 때문에, 이번은 ①감염 단말로부터 흔적을 찾는 방법으로 합니다.
하치베 씨가 감염되어 있기 때문에, 그 PC를 조사합니다.
웹 기록을 살펴보겠습니다.
BrowsingHistoryView를 사용합니다.
문제 문장에서 "〇〇.com"이라는 것을 알고 있으므로, 그것을 짜면
lh3.googleusercontent.com
하지만 수상하지만 google 같지만. . .
뭐 일단 입력해 보았습니다만, 역시 달랐습니다.
캐시를 살펴 보시겠습니까?
IECacheView를 사용합니다.
조사하는 폴더는
\PC13\Users\user13\AppData\Local\Microsoft\Windows\Temporary Internet Files
입니다.
멀리 멀웨어를 다운로드하고 있습니다.
그래서 이것이 대답.
라고 생각하면 달랐습니다.
이 멀웨어가 어디로 통신합니까? 라는 문제인가?
라는 것은, 이 다운로드 직후에 액세스하고 있는 곳이 대답일까라고 생각하고, LastAccessd로 재배열해 보면, 이것이 마지막 액세스였다. . .
음. 통신 로그가 없습니까? 라고 생각해 다시 오픈 월드 보고 있으면 프록시의 로그를 볼 수 있는 것을 알았다.
이것을 보면 이야기가 빠르다.
조만간 malware.exe를 다운로드 한 후 통신하고 .com을 보면 몇 가지 있었고, 그 중에 대답이있었습니다.
그건 그렇고
IP 주소의 4옥텟이 13의 녀석이라면 "ocsp.digicert.com"일까라고 생각하면 달라, 또 하나 쪽이었습니다.
IP의 4옥텟이 19명의 사람들도 감염된 것으로 나타났다.
Reference
이 문제에 관하여(센다이 CTF 2019 Opw6.C2 서버 100), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/samohan/items/6b10985b706d70d92dbf
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
① 감염 단말기에서 흔적을 찾는 방법.
②멀웨어로부터 통신처를 찾는 방법.
의 2가지가 있는 것 같습니다만, Windows의 가상 머신을 가지고 있지 않기 때문에, 이번은 ①감염 단말로부터 흔적을 찾는 방법으로 합니다.
하치베 씨가 감염되어 있기 때문에, 그 PC를 조사합니다.
웹 기록을 살펴보겠습니다.
BrowsingHistoryView를 사용합니다.
문제 문장에서 "〇〇.com"이라는 것을 알고 있으므로, 그것을 짜면
lh3.googleusercontent.com
하지만 수상하지만 google 같지만. . .
뭐 일단 입력해 보았습니다만, 역시 달랐습니다.
캐시를 살펴 보시겠습니까?
IECacheView를 사용합니다.
조사하는 폴더는
\PC13\Users\user13\AppData\Local\Microsoft\Windows\Temporary Internet Files
입니다.
멀리 멀웨어를 다운로드하고 있습니다.
그래서 이것이 대답.
라고 생각하면 달랐습니다.
이 멀웨어가 어디로 통신합니까? 라는 문제인가?
라는 것은, 이 다운로드 직후에 액세스하고 있는 곳이 대답일까라고 생각하고, LastAccessd로 재배열해 보면, 이것이 마지막 액세스였다. . .
음. 통신 로그가 없습니까? 라고 생각해 다시 오픈 월드 보고 있으면 프록시의 로그를 볼 수 있는 것을 알았다.
이것을 보면 이야기가 빠르다.
조만간 malware.exe를 다운로드 한 후 통신하고 .com을 보면 몇 가지 있었고, 그 중에 대답이있었습니다.
그건 그렇고
IP 주소의 4옥텟이 13의 녀석이라면 "ocsp.digicert.com"일까라고 생각하면 달라, 또 하나 쪽이었습니다.
IP의 4옥텟이 19명의 사람들도 감염된 것으로 나타났다.
Reference
이 문제에 관하여(센다이 CTF 2019 Opw6.C2 서버 100), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/samohan/items/6b10985b706d70d92dbf텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)