보안 정책 상 접근이 허용되지 않은 부서의 IP로부터 접속 흔적을 발견했다고 한다.
1번부터 살펴보자.
1번은 첫 번째 원격 로그인 성립 시점을 구하라고 한다.
원격 로그인 접속 로그 확인은
이벤트 ID 중에서
21 : 세션 로그온 성공
25 : 세션 다시 연결 성공
을 사용하여 필터링 하면 된다.
그래서 해봤는데 안나왔다.
이게 아닌가보다.
다른 자료를 더 살펴보니, 로그온 유형 중 10번이 원격 로그온을 나타내는 것을 찾을 수 있었다.
로그온 유형 | 로그온 제목 | 설명 |
10 | RemoteInteractive | 사용자가 터미널 서비스 또는 원격 데스크톱을 사용하여 원격 로그온 |
로그온 유형을 살펴보기 위해 로그인 이벤트만 필터링 해야겠다.
로그인 이벤트 중 성공적으로 로그인 된 것은 ID 4624로 필터링 할 수 있다.
근데 문제는 필터링 된 이벤트가 229개나 된다.
설명을 보면
이렇게 로그온 유형이 뜨긴 하는데
하나하나 로그온 유형을 살펴볼 수도 없고 .. 어떡하지
그래서 툴을 써보기로 했다.
Event Log Explorer
유료 앱인데, home은 무료로 사용가능한 license를 제공한다.
Logon Type을 custom columns로 해서 필터링 하려고 했는데, 안되서 일단 text로만 필터링을 했다.
그러니까 36개의 event log가 필터링 되었다.
쓱쓱 넘겨 Logon Type이 10인 event를 찾았다.
근데 1번 문제가 첫 번째 원격 로그인 성립 시점이므로 원격 로그인을 시도한 것이 여러 번임을 알 수 있다.
모두 살펴보자
총 4개가 나왔다.
따라서 1번 문제의 답은
2016-10-14 07:02:10이다.
2번 문제는 원격 접속 시 사용한 퇴사자 PC의 로컬 계정 이름을 찾는 것이다.
원격 접속 event를 구했으니까 그 계정 이름을 살펴보면 될 것 같다.
따라서 2번 답은 DevJDoe
3번은 원격으로 접속한 비 인가 부서의 IP 주소를 찾는 것이다.
이것도 마찬가지로 찾은 event의 설명을 봤는데, 추정되는 것이 있었다.
따라서 답은 192.168.16.11
그래서 최종 flag는 2016-10-14 07:02:10_DevJDoe_192.168.16.11
Reference
'Forensics > Wargame' 카테고리의 다른 글
[crescendo] Event Log Problem 03 (0) | 2022.04.03 |
---|---|
[crescendo] Event Log Problem 01 (0) | 2022.03.31 |
[crescendo] LNK Problem 01 (0) | 2022.03.26 |
[ctf-d] woodstock-1 (0) | 2022.03.15 |
[ctf-d] 파일에서 플래그를 찾아라 (0) | 2022.03.11 |
댓글