Information Security

HxD 프로그램을 이용하여 문제 파일을 열어보면 문제에서 ZIP파일이라는 것을 알 수 있다. ZIP 파일의 헤더인 50 4B 03 04 를 찾아보면 1009개의 검색되는 것을 알 수 있다. ZIP Local File Header 구조 정리표 Signature (시그니처)항상 \x50\x4b\x03\x04 값이다.Version needed to extract (압축 해제 필요 버전)이 파일을 압축 해제하기 위해 필요한 최소 PKZip 버전Flags (일반 목적 비트 플래그)Bit 00: 파일 암호화Bit 01: 압축 옵션Bit 02: 압축 옵션Bit 03: 데이터 설명자 존재 여부(Data Descriptor 사용)Bit 04: 향상된 디플레이트Bit 05: 패치된 데이터Bit 06: 강력한 암호화Bit..

파일 실행 흔적을 찾기 위해 C:\Windows\Prefetch\ 경로로 이동하여 Prefetch 파일 전부를 추출한다. Windows **Prefetch(프리패치)**는 프로그램 실행 속도를 향상시키기 위해 윈도우가 자동으로 생성하는 캐싱 메커니즘 및 포렌식 아티팩트입니다. Windows가 프로그램을 더 빠르게 실행하기 위해 해당 프로그램이 로딩 시 사용하는 파일·DLL 정보를 기록해 두는 기능프로그램이 실행될 때마다 .pf 파일이 생성·업데이트됨기본 저장 위치:C:\Windows\Prefetch\파일 확장자.pf파일명프로그램명-해시.pf 형태 예: NOTEPAD.EXE-12345678.pf저장 시점프로그램이 최초 실행될 때업데이트실행할 때마다 Last Run Time과 Run Count가 갱신삭제사용..

Chrome 브라우저 아티팩트 위치는 %UserProfile%\AppData\Local\Google\Chrome\User Data\Default 경로로 이동하면 Histroy 파일이 존재한다. DB Browser 프로그램을 이용하여 History 내용을 보면 Dtatfalonso-Android-L-Chrome 파일 이름과 Start_time 값을 알 수 있다. https://www.epochconverter.com/webkit 해당 사이트로 이동하여 start_time 값을 입력하면 Unix time을 알 수 있다. 옆으로 이동하면 mime_type 값이 image/x-icon이라는 것을 알 수 있다.

Security.evtx를 보면 4672 관리자 권한 상승 탐지 이벤트가 많은 것을 알 수 있다. Windows PowerShell.evtx PowerShell 이벤트 로그에서 Event ID 600은 PowerShell의 시작을 의미합니다. 해당 이벤트는 PowerShell이 실행될 때 기록되며, PowerShell 세션이 열릴 때마다 자동으로 생성됩니다. Event ID 600 용도: PowerShell 사용 시작 시점을 기록하여, 누가 언제 PowerShell을 사용했는지 추적하는 데 도움이 됩니다.상세 정보: 이 로그에는 시작된 PowerShell 버전 및 호스트 정보, 실행된 사용자 정보 등이 포함될 수 있습니다./Windows/System32/winvet/Logs 경로에서 Windows Pow..

System 로그의 Event ID 6005:의미: Windows 시스템의 시작을 알리는 이벤트입니다.상세 설명: 이 이벤트는 Windows 운영 체제가 부팅될 때 시스템 로그 서비스가 시작되었음을 기록합니다. 보통 시스템이 정상적으로 부팅되었는지 확인하기 위해 사용되며, “이벤트 로그 서비스가 시작되었습니다”라는 메시지와 함께 나타납니다.용도: 주로 시스템의 시작 시간과 운영 상태를 파악할 때 사용됩니다.Security 로그의 Event ID 4608:의미: Windows 시스템의 보안 로그 초기화를 알리는 이벤트입니다.상세 설명: 시스템 부팅 후 보안 설정이 초기화되는 시점을 기록합니다. 이는 보안 관련 이벤트 로깅이 시작된다는 의미로, 시스템이 부팅되거나 재시작될 때 나타납니다.용도: 보안 측면에서..

해당 서버를 실행 시 아래와 같이 Silky 로그인 화면을 보여주는 것을 확인 칼리 리눅스에서 IP 주소 확인 nmap 스캔 프로그램을 이용하여 호스트만을 스캔하는 -sn 옵션을 통해 진행하여 Silky 서버의 IP 주소가 192.168.116.141 확인 IP 주소 192.168.116.141을 스캔하여 ssh, http 프로세스 확인 HTTP 홈페이지 접속 시 Apache2 Default 페이지를 확인 홈페이지에 /robots.tx 크롤링하는 페이지를 확인 시 /notes.txt 페이지가 존재하는 것을 확인 /notes.txt에 접근하면 외국어로 작성된 문장을 확인번역 : 페이지에서 비밀번호를 꼭 삭제해야 합니다. 마지막 두 글자가 빠졌거든요. 어쨌든요. 홈페이지에 소스코드를 보면 script.js..

해당 서버 실행 시 우분투로 실행되는 것을 확인 공격자에 칼리리눅스 네트워크 대역 확인 nmap 프로그램을 이용해 192.168.116.0/24 대역 스캔하여 서버의 IP 주소 192.168.116.135 확인 192.168.116.135 서버에서 FTP 서버, SSH 서버, HTTP 프로세스가 동작하는 것을 확인 FTP 서버 버전이 1.3.3c라는 것을 확인 Metasploit에서 proftpd 해당 버전의 backdoor 취약점 확인 해당 공격에 대한 reverse 페이로드 선택 공격에 필요한 정보들을 options 명령어로 확인 RHOSTS는 공격할 서버의 IP 주소, LHOST는 칼리리눅스의 IP 주소 입력 exploit 공격을 수행하면 세션이 연결되는 것을 확인 /etc/shadow 파일에서..

FindUSB문제에서 사용했던 파일 중에서 Registry Explorer로 NTUSER 하이브 파일을 열어준다. SOFTWARE\Microsoft\Windows\CurrentVersion\Run 레지스트리에서 자동으로 시작하는 프로그램들을 확인할 수 있다. 자동으로 실행되고 있는 파일들을 확인할 수 있다. 해당 경로에 malware.exe 파일을 확인 malware.exe 파일을 MD5 해시값으로 계산