본문 바로가기
Forensics/Wargame

[crescendo] Event Log Problem 02

by sseddi 2022. 4. 1.
728x90

보안 정책 상 접근이 허용되지 않은 부서의 IP로부터 접속 흔적을 발견했다고 한다.

1번부터 살펴보자.


1번은 첫 번째 원격 로그인 성립 시점을 구하라고 한다.

원격 로그인 접속 로그 확인은

 

이벤트 ID 중에서 

21 : 세션 로그온 성공

25 : 세션 다시 연결 성공

을 사용하여 필터링 하면 된다.

 

그래서 해봤는데 안나왔다.

이게 아닌가보다.

 

다른 자료를 더 살펴보니, 로그온 유형 중 10번이 원격 로그온을 나타내는 것을 찾을 수 있었다.

로그온 유형 로그온 제목 설명
10 RemoteInteractive 사용자가 터미널 서비스 또는 원격 데스크톱을 사용하여 원격 로그온

 

로그온 유형을 살펴보기 위해 로그인 이벤트만 필터링 해야겠다.

로그인 이벤트 중 성공적으로 로그인 된 것은 ID 4624로 필터링 할 수 있다.

근데 문제는 필터링 된 이벤트가 229개나 된다.

 

설명을 보면 

이렇게 로그온 유형이 뜨긴 하는데

하나하나 로그온 유형을 살펴볼 수도 없고 .. 어떡하지

 

그래서 툴을 써보기로 했다.

Event Log Explorer

https://eventlogxp.com/

 

Windows event log analysis software, view and monitor system, application and security event logs — FSPro Labs

For Windows Administrators Filters events by any criteria Stores user credentials Automates labor intensive tasks Monitors and notifies about events More about sysadmin features... For Forensic Investigators Retrives detailed information Reads damaged even

eventlogxp.com

유료 앱인데, home은 무료로 사용가능한 license를 제공한다.

 

Logon Type을 custom columns로 해서 필터링 하려고 했는데, 안되서 일단 text로만 필터링을 했다.

 

그러니까 36개의 event log가 필터링 되었다.

쓱쓱 넘겨 Logon Type이 10인 event를 찾았다.

근데 1번 문제가 첫 번째 원격 로그인 성립 시점이므로 원격 로그인을 시도한 것이 여러 번임을 알 수 있다.

모두 살펴보자 

 

총 4개가 나왔다.

 

따라서 1번 문제의 답은

2016-10-14 07:02:10이다.


2번 문제는 원격 접속 시 사용한 퇴사자 PC의 로컬 계정 이름을 찾는 것이다.

원격 접속 event를 구했으니까 그 계정 이름을 살펴보면 될 것 같다.

 

따라서 2번 답은 DevJDoe


3번은 원격으로 접속한 비 인가 부서의 IP 주소를 찾는 것이다. 

이것도 마찬가지로 찾은 event의 설명을 봤는데, 추정되는 것이 있었다.

따라서 답은 192.168.16.11


그래서 최종 flag는 2016-10-14 07:02:10_DevJDoe_192.168.16.11


Reference

http://www.igloosec.co.kr/BLOG_%EC%9B%90%EA%B2%A9%20%EB%8D%B0%EC%8A%A4%ED%81%AC%ED%86%B1(RDP)%20%EC%95%85%EC%9A%A9%20%EC%B9%A8%ED%95%B4%EC%82%AC%EA%B3%A0%20%EC%9D%B4%EB%B2%A4%ED%8A%B8%20%EB%A1%9C%EA%B7%B8%20%EB%B6%84%EC%84%9D?bbsCateId=1 

 

728x90

'Forensics > Wargame' 카테고리의 다른 글

[crescendo] Event Log Problem 03  (0) 2022.04.03
[crescendo] Event Log Problem 01  (0) 2022.03.31
[crescendo] LNK Problem 01  (0) 2022.03.26
[ctf-d] woodstock-1  (0) 2022.03.15
[ctf-d] 파일에서 플래그를 찾아라  (0) 2022.03.11

댓글