본문 바로가기
Forensics/Wargame

[crescendo] Event Log Problem 03

by sseddi 2022. 4. 3.
728x90

인가되지 않은 클라우드 공유 프로그램의 설치 흔적을 발견했다고 한다.

제공된 이벤트 로그는 다음과 같다.

구하려고 하는 정보에 따라 봐야할 이벤트 로그가 무엇인지 알 필요가 있을 것 같다.

 

1번부터 살펴보자.


1번은 설치된 비인가 프로그램의 실행파일 이름이다.

프로그램에 대한 정보를 봐야하므로 Application.evtx를 살펴보자.

비인가 프로그램 중에서도 클라우드 공유 프로그램이라는 것을 잊지말자.

 

저번에도 이벤트 로그를 살펴볼 때 사용한 툴인 Event Log Explorer을 통해 열어보았다.

오른쪽 스크롤을 보면 되게 많은 event들이 있는 것을 확인할 수 있다.

이벤트 id 11707은 프로그램이 정상 설치 된 기록을 확인할 수 있다.

실행을 했으니 정상설치 되었을 것이라 생각되어 필터링을 해보았다.

 

그랬더니 세 가지 이벤트가 필터링 되었다.

내용을 보면 Dropbox Update Helper, Adobe Reader, Google Update Helper이다.

클라우드 공유 프로그램은 이 셋 중에 Dropbox가 가장 유력하다.

 

따라서 1번 답은 Dropbox


2번은 1번 프로그램의 설치 완료 시점을 구하는 것이다.

1번을 풀 때 필터링 한 id인 11707이 프로그램의 정상 설치를 나타내므로 해당 id의 시간이 바로 2번 답이라고 할 수 있다.

 

따라서 2번 답은 2016-10-13 12:25:36


3번은 

1번 프로그램이 방화벽 예외에 등록된 시점을 구하는 것이다.

그래서 제공된 event log 중 firewall에 해당되는 event log를 살펴보려고 한다.

 

방화벽과 관련한 event id를 살펴보자.

방화벽 설정이 변경된 경우의 event id는 4950이다.

 

근데 필터링 해보니까 아무런 event도 나오지 않았다.

근데 Description을 보니까 A Windows Defender Firewall setting has changed.가 몇몇 보여서 Text in description에 해당 문구로 필터링을 해주었다.

 

그래서 15개의 이벤트를 확인할 수 있었다.

근데 Descrption을 보니까 다른게 Value 밖에 없고 Modifying Application은 공란으로 되어있었다.

Modifying Application에 Dropbox가 있어야하는데,,

 

그래서 Text in description에 Dropbox을 넣고 필터링 해봤다.

그랬더니 딱 하나 이벤트가 나왔다.

 

따라서 3번 답은 2016-10-13 12:30:00


최종 flag는 Dropbox_2016-10-13 12:25:36_2016-10-13 12:30:00

728x90

'Forensics > Wargame' 카테고리의 다른 글

[crescendo] Event Log Problem 02  (0) 2022.04.01
[crescendo] Event Log Problem 01  (0) 2022.03.31
[crescendo] LNK Problem 01  (0) 2022.03.26
[ctf-d] woodstock-1  (0) 2022.03.15
[ctf-d] 파일에서 플래그를 찾아라  (0) 2022.03.11

댓글