이번 CCE에서 부산돼지국밥빨리먹기대회우승자연합으로 참가했습니다.

 

 

참고로 진짜 저런 대회가 있는건 아니구요 그냥 국밥마려워서 저렇게 지었습니다..

 

 

 

풀이라고 해봐야 사실 별게 없습니다.. 그냥 이벤트 로그 분석하면 되는데 답 형식 중 모호한 부분이 있어서 뭔가 많이 못 맞추신 것 같음..

 

 

암튼 저는 풀때 Windows Message Analyzer 사용해서 필터링 이것 저것 넣어보면서 이러쿵 저러쿵 풀었습니다.

 

필터링 뭐넣었더라 그냥 명령줄이랑 인자같은것도 있었고 이미지 명 그런 것도 넣어서 했던 것 같네요. mitre tid description도 나오던걸로 기억하는데 그것도 보면서 했던 것 같습니다.

 

 

message analyzer에선 column grouping이 되는게 좋은 것 같더라구요 활용성 갑

 

 

이거 정답 양식이 기억안나는데 일단 최초 악성코드 명은 "교육계획.hwp"였구 실행 시간은 2019-08-03 01:43:23입니다.

 

 

그리고 최초 지속 행위를 수행한 시간이던가? 그게 앞에서 언급했던 모호한 부분인데, 지속 행위가 한 두개가 아니라.. 무튼 문제 출제자가 의도한건 번호 6번 항목일겁니다.

 

 

저게 제 기억으론 base64로 인코딩 된 powershell 스크립트일거에요 그냥 저게 실행되는 시각이 최초 지속 행위였음.

 

 

 

 

그나저나 요새 남한테 설명을 잘 하는 방법을 모르겠네요. 이 포스팅을 의식해서 그런건 아니고 그냥 다른 주제 설명할때도 좀 느끼는둡

 

 

그만큼 제가 공부안해서 그런거겠조 흑흑 잘하구싶다 에효 열심히합시다,,,

 

 

 

19/10/14 추가) 원본 문제 파일은 zlib으로 압축되어 있기때문에 압축을 해제하시면 됩니다.

Posted by extr
: