이번 CCE에서 부산돼지국밥빨리먹기대회우승자연합으로 참가했습니다.

 

 

참고로 진짜 저런 대회가 있는건 아니구요 그냥 국밥마려워서 저렇게 지었습니다..

 

 

 

풀이라고 해봐야 사실 별게 없습니다.. 그냥 이벤트 로그 분석하면 되는데 답 형식 중 모호한 부분이 있어서 뭔가 많이 못 맞추신 것 같음..

 

 

암튼 저는 풀때 Windows Message Analyzer 사용해서 필터링 이것 저것 넣어보면서 이러쿵 저러쿵 풀었습니다.

 

필터링 뭐넣었더라 그냥 명령줄이랑 인자같은것도 있었고 이미지 명 그런 것도 넣어서 했던 것 같네요. mitre tid description도 나오던걸로 기억하는데 그것도 보면서 했던 것 같습니다.

 

 

message analyzer에선 column grouping이 되는게 좋은 것 같더라구요 활용성 갑

 

 

이거 정답 양식이 기억안나는데 일단 최초 악성코드 명은 "교육계획.hwp"였구 실행 시간은 2019-08-03 01:43:23입니다.

 

 

그리고 최초 지속 행위를 수행한 시간이던가? 그게 앞에서 언급했던 모호한 부분인데, 지속 행위가 한 두개가 아니라.. 무튼 문제 출제자가 의도한건 번호 6번 항목일겁니다.

 

 

저게 제 기억으론 base64로 인코딩 된 powershell 스크립트일거에요 그냥 저게 실행되는 시각이 최초 지속 행위였음.

 

 

 

 

그나저나 요새 남한테 설명을 잘 하는 방법을 모르겠네요. 이 포스팅을 의식해서 그런건 아니고 그냥 다른 주제 설명할때도 좀 느끼는둡

 

 

그만큼 제가 공부안해서 그런거겠조 흑흑 잘하구싶다 에효 열심히합시다,,,

 

 

 

19/10/14 추가) 원본 문제 파일은 zlib으로 압축되어 있기때문에 압축을 해제하시면 됩니다.

'대회/워게임 > 대회' 카테고리의 다른 글

CCE 2019 - Wintifact 풀이  (0) 2019.10.11
2015 inc0gnito CTF Write-up  (4) 2015.08.25
2015 hust hacking festival  (0) 2015.06.01
제2회 디지털 범인을 찾아라 풀이  (2) 2014.11.16
2014 화이트햇 콘테스트 예선전 풀이  (0) 2014.11.11
[CODEGATE2013] Forensics 300  (0) 2013.03.05
Posted by extr

댓글을 달아 주세요

1st place

2015 incognito CTF Writeup!.pdf


'대회/워게임 > 대회' 카테고리의 다른 글

CCE 2019 - Wintifact 풀이  (0) 2019.10.11
2015 inc0gnito CTF Write-up  (4) 2015.08.25
2015 hust hacking festival  (0) 2015.06.01
제2회 디지털 범인을 찾아라 풀이  (2) 2014.11.16
2014 화이트햇 콘테스트 예선전 풀이  (0) 2014.11.11
[CODEGATE2013] Forensics 300  (0) 2013.03.05
Posted by extr

댓글을 달아 주세요

  1. sup3rn0v4 2015.08.28 20:05 신고 Address Modify/Delete Reply

    감사합니다 :D

  2. 5unKn0wn 2015.09.17 14:42 Address Modify/Delete Reply

    안녕하세요! 풀이 보다가 궁금한 점이 하나가 생겨서 질문 올립니다. RSA문제인데 N을 구한 뒤 fermat이라는 프로그램을 이용하여 p와 q를 구하셨는데 이는 직접 코딩을 하셔서 두 소수를 브루트 포싱 하신 건가요??? 아니면 이미 시중에 나와 있는 프로그램을 이용하신 건가요???

    • 5unKn0wn 2015.09.18 00:03 Address Modify/Delete

      아 그리고 처음에 이미지에 있는 값을 C가 아닌 M으로 잡으신 이유와 e를 0xEFFFB로 정하신 이유도 궁금합니다. 질문이 많아서 죄송합니다..ㅠㅠ

    • extr 2015.11.06 04:43 신고 Address Modify/Delete

      이제봤네요.. 문제는 코딩해서 푼것같더라구요 저도 제가 안풀어서 음; 후자에 대한 답변도 힌트2가 나오고 접근을 저렇게했다...고만 알고있습니다.

[reversing.kr] AutoHotkey2

2015.08.01 17:04

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

[reversing.kr] CSHARP

2015.08.01 17:03

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

[reversing.kr] Twist1

2015.08.01 17:03

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

1st place


writeup_dcua.pdf


'대회/워게임 > 대회' 카테고리의 다른 글

CCE 2019 - Wintifact 풀이  (0) 2019.10.11
2015 inc0gnito CTF Write-up  (4) 2015.08.25
2015 hust hacking festival  (0) 2015.06.01
제2회 디지털 범인을 찾아라 풀이  (2) 2014.11.16
2014 화이트햇 콘테스트 예선전 풀이  (0) 2014.11.11
[CODEGATE2013] Forensics 300  (0) 2013.03.05
Posted by extr

댓글을 달아 주세요



디지털범인을찾아라_풀이_이규호.pdf



풀이입니당



http://forensickorea.org/sboard/board/boardview.asp?table_name=sb_kifs&table_id=board_01&board_idx=375

'대회/워게임 > 대회' 카테고리의 다른 글

2015 inc0gnito CTF Write-up  (4) 2015.08.25
2015 hust hacking festival  (0) 2015.06.01
제2회 디지털 범인을 찾아라 풀이  (2) 2014.11.16
2014 화이트햇 콘테스트 예선전 풀이  (0) 2014.11.11
[CODEGATE2013] Forensics 300  (0) 2013.03.05
[CODEGATE2013] Forensics 200  (0) 2013.03.05
Posted by extr

댓글을 달아 주세요

  1. ㅁㄴㅇ 2014.12.01 20:55 Address Modify/Delete Reply

    와 정말 어렵네요... 풀이 올려주셔서 감사드립니다.

    전 정말 많은 것을 놓쳤었네요^.ㅠ

    실력이 정말 좋으신듯. 앞으로도 항상 원하는 일 잘 하실 수 있기를 기원합니다.

  2. Bjay 2016.05.16 16:00 Address Modify/Delete Reply

    풀이 잘 봤습니다. 포렌식을 처음접해보는 사람으로서 질문 몇가지만 드리고 싶습니다.
    1. 파일 복구는 FTK에서 바로 복구가 가능하다고 되어있는데, 구체적으로 어떻게 되는 것인지 궁금합니다. 삭제된 파일은 빨간색으로 X표기되어있는데, 복구가 가능하다면 바로 뜨나요? 예를 들어 이미지파일이 삭제되었는데 복구가 가능하다면 FTK 내의 이미지 창에서 바로 확인할 수 있는 건가요?
    2. 리눅스 환경에서의 분석을 시작할 때 마운트를 어떻게 한 것인지 궁금합니다. 저는 인케이스로 해당 볼륨을 Acquire 한 다음, 그 결과물인 E01 파일을 다른 pc의 리눅스 상에서 evfmount 명령어로 시도하였으나 파티션 문제(?)로 실패하였습니다. 이미지파일 자체의 문제인가 하는 생각도 들었습니다. 혹시 이에 대해서도 아시나요?
    3. 암호가 필요한 부분은 이미지 파일 혹은 문제 자체(시간)에서 유추를 하셨던데요. 패스워드를 알아내는 데까지 얼마나 많은 시간이 걸렸는지, 어떻게 그런 생각을 하셨는지도 궁금하네요. 이것은 단순히 "단기 기억력"에 의존해서 그 비밀번호를 알아낼 수 있었던 것인가요?

    제 메일은 boksu91@gmail.com 입니다. 혹시 디지털 범인을 찾아라 3회 게시글에 다른 사람들이 풀이를 요청했던데, 가능하다면 저도 받고싶습니다. :D 좋은하루 되세요 ^^


2014 화이트햇 콘테스트 예선 문제 풀이.pdf


일반부 10등 오빠, 저 자취해요 팀 문제 풀이 보고서입니다.


부족하더라도 잘 봐주세요 <3...


같이 힘썻던 형서형님, 인호, 도원이 수고했슴다! 깔깔



'대회/워게임 > 대회' 카테고리의 다른 글

2015 hust hacking festival  (0) 2015.06.01
제2회 디지털 범인을 찾아라 풀이  (2) 2014.11.16
2014 화이트햇 콘테스트 예선전 풀이  (0) 2014.11.11
[CODEGATE2013] Forensics 300  (0) 2013.03.05
[CODEGATE2013] Forensics 200  (0) 2013.03.05
[CODEGATE2013] Forensics 100  (4) 2013.03.05
Posted by extr

댓글을 달아 주세요



1. Description


Download Link http://58.229.122.11/ce5a4c1f062bffc9eb02c1f911d449d8.docx


Find key?


2. Solution


먼저 문제의 워드 파일을 열어보니 스테가노그래피인 것 같아서 내부에 있는 이미지 파일을 가져오기 위해 zip형식으로 변환한 후, word\media에서 이미지들을 추출할 수 있었습니다.


헌데, emf 파일들이 찜찜해서 모두 Hex Editor로 보던 중, image6.emf 파일이 doc 파일임을 알 수 있었습니다.



파일을 열어보니 빨간 글씨로 2013이라고 적혀있는 것을 볼 수 있었습니다(위협).

 




이를 통해 doc steganography에 관한 정보를 찾던 중 New Steganographic Techniques for the OOXML File Format라는 OOXML형식의 파일 포맷에 대한 스테가노그래피 기법을 간략히 설명해놓은 PDF를 볼 수 있었습니다

(https://www.google.co.kr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDAQFjAA&url=http%3A%2F%2Fforensic.korea.ac.kr%2Fxe%2F%3Fmodule%3Dfile%26act%3DprocFileDownload%26file_srl%3D17283%26sid%3D1d210b83346fa16b7b1bb1abdc9bad6d&ei=sYYzUZfbILGujAKljoH4BQ&usg=AFQjCNGD8GagP1FiQNt_0rpkuXEXhOBXcA&bvm=bv.43148975,d.cGE&cad=rjt)


이 문서를 통해 ooXML 관련 Steganography 프로그램을 찾다가 ooXML Steganography UnHider라는 프로그램을 찾을  수 있었고 이를 이용하여 아래와 같이 문제를 해결할 수 있었습니다.



먼저, 아까 전 emf 파일로 위장한 워드 파일 쓰여있던 ‘2013’을 비밀번호로 넣고 Unhide하면 아래와 같은 텍스트가 나오게 되는데, 이 값이 바로 인증키가 됩니다.

 



Key : c0d2gate~2o13!!F0r2nsic!!!!!


이 외에도, 힌트를 통해 Extra Field 부분의 암호화된 데이터를 보고 해당 값을 메뉴얼 디크립션 시킬 수 있습니다.


자세한 방법은 http://deok9.org/?p=262 를 참고해주세요 ~_~



 









Posted by extr

댓글을 달아 주세요

1. Description


Download Link http://goo.gl/Wz00a


경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세운다.


경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다.


경찰청은 인터넷에 떠돌아 다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다.


어느날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 음란물은 완전삭제되어 있었다. 그래서 아동 음란물을 받은 흔적을 찾기 위해 증거들을 모두 분석하였지만 아동 음란물 다운로드에 대한 흔적은 존재하지 않았다.


경찰청은 분명 다운로더가 아동 음란물을 받는 것을 트랙픽 모니터링을 통해 확인 하였고, 해당 트래픽 또한 증거로 가지고 있으나 결정적인 증거가 없어 해당 다운로더를 기소하지 못하고 있다.

그래서 경찰청은 그대들에게 다음과 같이 요청한다.


"다운로더를 기소할 수 있는 결정적인 증거를 찾아주세요!"


Key format : SHA1("md5(Evidence File)_Download Time")


Download Time : KST, YYYY/MM/DD_HH:MM:SS



2. Solution


문제에서 요구하는 파일을 찾기 위해서 어디서 다운로드 되었나 생각 해보아야 하는데 인터넷 캐시는 없으므로 프로그램을 통해, 즉 Torrent 를 통해 받았음을 짐작할 수 있습니다.


어떤 파일을 받았는지 알아보기 위해 BEncoder를 이용해 uTorrent의 설정 파일을 열어보면 아래와 같이 다운로드 완료된 토렌트 파일의 위치를 알 수 있습니다.



해당 경로로 이동하여 파일을 생성시각을 동영상 다운로드 시각이라 생각하고 인증할 수 있었습니다.



결과적으로 위 파일의 MD5 체크 섬 값인 449529c93ef6477533be01459c7ee2b4D와, 생성 시각(또는 접근 시각) 2012/12/24 13:45:43을 통해 아래 값을 만들어 낼 수 있습니다.


SHA-1(449529c93ef6477533be01459c7ee2b4D_2012/12/24 13:45:43)


Key : 20789d8dae4efe2ece9194ef08b1c752c04b5e47








Posted by extr

댓글을 달아 주세요