본문 바로가기

Forensics/Wargame53

[crescendo] Event Log Problem 03 인가되지 않은 클라우드 공유 프로그램의 설치 흔적을 발견했다고 한다. 제공된 이벤트 로그는 다음과 같다. 구하려고 하는 정보에 따라 봐야할 이벤트 로그가 무엇인지 알 필요가 있을 것 같다. 1번부터 살펴보자. 1번은 설치된 비인가 프로그램의 실행파일 이름이다. 프로그램에 대한 정보를 봐야하므로 Application.evtx를 살펴보자. 비인가 프로그램 중에서도 클라우드 공유 프로그램이라는 것을 잊지말자. 저번에도 이벤트 로그를 살펴볼 때 사용한 툴인 Event Log Explorer을 통해 열어보았다. 오른쪽 스크롤을 보면 되게 많은 event들이 있는 것을 확인할 수 있다. 이벤트 id 11707은 프로그램이 정상 설치 된 기록을 확인할 수 있다. 실행을 했으니 정상설치 되었을 것이라 생각되어 필터링을.. 2022. 4. 3.
[crescendo] Event Log Problem 02 보안 정책 상 접근이 허용되지 않은 부서의 IP로부터 접속 흔적을 발견했다고 한다. 1번부터 살펴보자. 1번은 첫 번째 원격 로그인 성립 시점을 구하라고 한다. 원격 로그인 접속 로그 확인은 이벤트 ID 중에서 21 : 세션 로그온 성공 25 : 세션 다시 연결 성공 을 사용하여 필터링 하면 된다. 그래서 해봤는데 안나왔다. 이게 아닌가보다. 다른 자료를 더 살펴보니, 로그온 유형 중 10번이 원격 로그온을 나타내는 것을 찾을 수 있었다. 로그온 유형 로그온 제목 설명 10 RemoteInteractive 사용자가 터미널 서비스 또는 원격 데스크톱을 사용하여 원격 로그온 로그온 유형을 살펴보기 위해 로그인 이벤트만 필터링 해야겠다. 로그인 이벤트 중 성공적으로 로그인 된 것은 ID 4624로 필터링 할 .. 2022. 4. 1.
[crescendo] Event Log Problem 01 도메인 컨트롤러가 침해당했고, Security 이벤트 로그를 통해 정보를 확인하라고 한다. 이벤트 로그는 더블클릭하면 이벤트 뷰어로 열리게 된다. 1번부터 순서대로 살펴보자. 가장 먼저 사용된 일반 사용자 계정의 이름을 구하라고 한다. 이벤트 로그에서 기록된 로그들은 각각 이벤트 ID를 할당받기 때문에 일반 사용자 계정 생성의 이벤트 ID를 찾아보자. ID가 4720임을 확인할 수 있다. ID를 아니까 현재 로그 필터링을 통해 필터링을 해보자 가장 먼저 생성된 것을 확인하면 되므로 두번째 이벤트 로그의 계정 이름을 확인해준다. 그럼 1번의 답은 JDazz인 것을 확인할 수 있다. 2번은 해당 일반 사용자 계정의 생성 시점을 구하라고 한다. 포맷은 YYYY-MM-DD hh:mm:ss (UTC+9 24hou.. 2022. 3. 31.
[crescendo] LNK Problem 01 문제 텍스트 파일은 다음과 같다. 이동식 디스크에 저장된 원본 파일 이름을 구하라고 한다. 무슨 의미인지 잘 모르겠지만,, 일단 바로가기 파일을 잘 모르기 때문에 무엇인지 한번 짚고 넘어가자 LNK 파일 링크 파일로, 바로가기 경로를 지정하여 특정 프로그램 또는 파일을 실행할 수 있다. 010 Editor 템플릿을 이용해 LNK 파일 분석이 가능하다. LNK 파일 포맷은 크게 아래 5가지 부분으로 구성된다. ShellLinkHeader LinkTargetIDList LinkInfo StringData ExtraData -> 포렌식적으로 의미있는 정보를 저장한 구조는 ShellLinkHeader와 LinkInfo 구조이다. ShellLinkHeader : 기본적인 헤더로 식별 정보, 시간 정보, 대상 파일.. 2022. 3. 26.
728x90