Jsecurity

[시나리오] X 회사의 재정 정보를 훔치기 위해서 IU는 비밀리에 직장을 구했다. 그녀는 CFO의 컴퓨터를 공격하기로 결정한 후 사회 공학적 방법으로 악의적인 악성코드를 자신의 컴퓨터로 삽입하기로 결정했다. 그녀는 CFO가 퇴근할 때 컴퓨터를 끄지 않는다는 것을 알아냈다. CFO가 사무실에서 나간 후, 그녀는 CFO의 컴퓨터에서 재무자료를 얻고 EXCEL 파일을 검색한다. 그녀는 설치된 응용 프로그램을 확인해서 파일에서 정보를 찾을 수 있었다. 모든 추적을 제거하기 위해 그녀는 악성코드, 이벤트 로그 및 최근 파일 목록을 지웠다. X 회사는 적절한 조치를 취하기 위해 그녀가 어떤 정보를 훔쳤는지 밝혀야 한다. 이 파일들은 CFO의 컴퓨터에서 공격받은 파일들이다. 그녀가 훔친 파일의 전체 경로와 파일의 크..

디지털 포렌식 워크샵에 다녀왔습니다. 워크샵 장소가 생각보다 멀어서 고단했지만, 포렌식에 대해서 폭넓은 지식을 햠양할 수 있었던 좋은 시간이였습니다. 워크샵 장소: The K Hotel 양재 시민의숲역에서 나와 길을 쭉 걷다보면 큰 호텔이 하나가 떡하니 나타납니다. 워크숍 내용들이 나에겐 너무 이해하기 어려웠던 부분이 많았습니다. 그중에서 인상 깊었던 내용은 첫째날, 한신대학교에서 OOXML office forensic에 대해서 연구하신 내용은 디지털 포렌식 챌린지 대회를 하면서 공부를 했던 내용이라 인상깊게 들었습니다. 2020년도 디지털포렌식연구회의 계획입니다. 멀리서 촬영하여 화질이 나쁘네요.. 내년에도 디지털 포렌식 챌린지를 개최 하니 많은 참여 부탁드립니다!

[EnCase Image Mount] 대상 Evidence 이미지 파일 선택 > 우클릭 > Device > Share > Mount as Emulated Disk 선택 이미지(E01) 파일이 volume: F로 마운트 된다. [EnCase Image UnMount] [Physical Disk Emulator] 더블클릭

[ 문제 파일 Download ] 주어진 문제 파일에 확장자가 존재하지 않기 때문에 어떤 유형의 파일인지 알 수 없다. 그렇기 때문에 Linux의 file 명령어를 사용하여 파일의 확장자를 확인한다. 위의 그림과 같이 문제 파일이 XZ 확장자를 가진 압축파일임을 알 수 있다. 파일명의 확장자를 .xz 로 변경한 뒤 unxz 명령어를 사용하여 압축을 풀어 확인한다. 압축을 해제하면 다시 한번 똑같은 파일이 나타난다. 한번더 file 명령어를 사용하여 파일의 유형을 확인한다. 파일 확장자를 확인해보니 7zip으로 압축된 파일인 것을 알 수 있다. 데이터를 windows 운영체제로 옮겨 분석해보자. 압축파일을 실행하면 위의 그림과 같이 16개의 파일들이 압축되어 있다. 그 중 특이한 점은 문제 파일로 제공된 ..

한국 정보보호 학회에서 개최한(KIISC) 디지털 포렌식 챌린지가 (2019년 6월 22일부터 ~ 2019년 9월 30일)까지 약 100일간 정보보안 및 포렌식에 관련한 문제를 풀어서 메일로 보고서를 제출하면 해당 문제에 응하는 점수를 받는 방식입니다. 저 또한 이 대회에 "Forensic_Drive"라는 팀명으로 열심히 문제를 풀어 보았습니다만, 실력이 미흡하여 14위로 마무리해서 아쉽지만, 내년 2020년도에는 좀 더 적극적으로 참여하여 TOP10 순위권을 목표로 노력해 보려고 합니다. 올해 문제 출제 유형은 AF(안티포렌식), IR(침해대응), MOI(임베디드), ART(아티펙트), MISC(종합)으로 이루어져, 각 유형별로 100점부터~500점으로 (5개씩) 총 25문제가 출제되었습니다. 높은 배..

data leakage case #10~11, application install/execution logshttps://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html https://m.blog.naver.com/PostView.nhn?blogId=s2kiess&logNo=220796244110&proxyReferer=https%3A%2F%2Fwww.google.co.kr%2F "UserAssis..holywaterkim.tistory.com10) What applications were installed by the suspect after installing OS?해설: OS가 설치된 이후에 설치된 응용프로그램은? OS에 설치된 응용프로그..

data leakage case #9, network interface with IP https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html #9. Explain the information of network interface(s) with an IP address assigned by DHCP. #3 참고. \HKLM\System\ControlSet001\serv.. holywaterkim.tistory.com 9. Explain the information of network interface(s) with an IP address assigned by DHCP. 해설: DHCP에서 할당된 IP 주소와 네트워크 인터페이스의 정보 확..

문제 파일 다운로드 http://www.ctf-d.com/files/0e5fd204e2cf4b8c756cb95b41759185/blue.txz 풀이 'blue.txz'로 압축되어 있는 문제파일이 주어진다. 압축을 풀기위해서 위의 명령어와 같이 [root@localhost Desktop]$ tar Jxvf blue.txz 명령어를 입력하면 위의 blue라는 폴더 와 하위 파일이 압축해제 된다. blue.pcap 파일이 주어진다. 해당 패킷 안에 어떠한 데이터가 있는지 확인하기위해 binwalk를 이용하여 분석하면 png파일이 은닉 되어있음을 확인할 수 있다. 그후, 분석을 통해서 png 파일을 추출하면 문제를 해결할 수 있다. 위의 그림과 같이 png 이미지가 은닉되어 있다. 따라서, Wireshark를 ..

data leakage case #8, last shutdown date/time https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html http://www.antionline.com/showthread.php?275382-Time-and-date-of-last-shutdown #8. When was the last recorded shutdown date/time?.. holywaterkim.tistory.com 8) When was the last recorded shutdown date/time? HKLM\System\ControlSet\Control\Windows Shutdown time: 57-A9-48-B5-10-67-D0-0..

data leakage case #7, last logon user https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html #7. Who was the last user to logon into PC? #3 참고. 다음의 레지스트리 경로에 마지막으로 로그온한 유저 정보가 있다. HKLM\Software.. holywaterkim.tistory.com 7) Who was the last user to logon into PC? 다음의 레지스트리 경로에 마지막으로 로그온한 유저 정보가 있다. HKLM\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI LastLoggedOnUs..