Disk Forensic #38 (서울에 위치한 X 에너지 기업이...)
주어진 문제 파일은 확장자가 존재하지 않아 어떤 유형의 파일인지 알 수 없다.
우선 리눅스 환경으로 옮겨 file 명령어를 통해 파일 유형을 확인하였다.
확인 결과, 7z 압축 파일인 것을 확인하였다.
이름 뒤에 .7z를 붙여 확장자를 7z로 지정하고 압축을 풀면 MFT 파일이 생성된다.
지문에서 포렌식 전문가인 IU가 MFT를 분석해서 공격자의 흔적을 찾았다고 하였다.
그러니 AnalyzeMFT 도구를 사용해서 MFT 파일을 분석하였다.
AnalyzeMFT : NTFS 파일 시스템에서 가장 중요한 파일이며, 여러 파일에 대한 메타 데이터 정보가 들어 있는 MFT를 분석할 수 있는 도구
참조 사이트 : https://github.com/dkovar/analyzeMFT
dkovar/analyzeMFT
Contribute to dkovar/analyzeMFT development by creating an account on GitHub.
github.com
위 화면대로 명령어 입력 시, MFT 파일을 분석한 정보가 들어 있는 텍스트 파일이 생성된다.
이제 본격적으로 파일을 분석한다.
일단 악성 파일의 특성상 실행 파일(.exe)일 확률이 매우 높다.
데이터가 매우 많기 때문에 먼저 exe 확장자를 검색해서 수상한 파일이 있는지 확인하였다.
exe 문자열로 검색하면 많은 실행 파일이 검색되면서 소프트웨어 설치, 포렌식 도구 등이 존재한다.
하지만 이 중에서 다른 파일들과 다르게 이름이 직관적이지 않고 특이한 파일 하나를 발견하였다.
위 화면에서 내용을 보면 r32.exe 파일은 휴지통에 버려진 파일임을 확인할 수 있다.
그리고 지문에서 공격자는 악성 파일과 다른 흔적들을 지우려고 노력했다는 것을 언급한 내용과 r32.exe 파일이 휴지통에 들어 있다는 것을 바탕으로 악성 파일은 r32.exe 파일이 맞다.
이제 플래그를 구하는 일만 남았다.
플래그는 r32.exe 파일의 생성 시간이지만, 지문에서 UTC + 09:00를 요구하였으니 위 화면에서 확인한 생성 시간에서 9시간을 더해준 다음 플래그로 입력하면 문제를 해결할 수 있다.
# Reference
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Disk Forensic] X 회사의 재정 정보를 훔치기... (0) | 2020.03.10 |
|---|---|
| [Disk Forensic] Find Key(slack) (0) | 2020.03.10 |
| [Disk Forensic] 제 드라이브에 catz 사진이 몇 장 있습니다! (0) | 2020.03.10 |
| [Network Forensic] 나는 힉스 입자가 발견되지 않을 것이라고... (0) | 2020.03.10 |
| [Network Forensic] 살인을 확인할 수 있습니까? (0) | 2020.03.10 |