1. 취약점 원인 바이너리 찾기
- sysmon로그 찾기
- 2021화햇기출
- 윈도우+r 이용해서 실행창 -> eventvwr 입력해서 이벤트 뷰어
-> 응용 프로그램 및 서비스 로그 - Microsoft - Windows -> Sysmon -> 하위 로그파일 - sysmon로그 우클릭 -> 다른 이벤트로 모든 이벤트 저장 -> 확장자 .xml로 저장
- 윈도우+r 이용해서 실행창 -> eventvwr 입력해서 이벤트 뷰어
- 2021화햇기출
- sysmon로그 분석
- sysmon로그
: 마이크로소프트에서 제공하는 Sysinteranls suite 에 포함된 도구.- 아주 강력한 윈도우 이벤트 로깅 기능을 제공
- 별도 설치 필요
- 침해사고 조사에 매우 유용.
- sysmon로그 분석도구 : Sysmon View, EventLogExplorer
- File - Import Sysmon Event logs로 분석할 sysmon로그파일 지정
- 2021화햇기출
- Sysmon View에 sysmon로그파일 import
-> 확장자가 .exe인 프로세스 확인 -> Parent command line과 Command line 확인
- Sysmon View에 sysmon로그파일 import
- sysmon로그
- 결과
- sysmon로그 파일 Operational 확인 -> sysmon.xml로 저장
- Sysmon View에서 sysmon.xml 탐색 -> gbb.exe 프로세스 확인 -> Parent command line 분석하면 3분기-취약점-조치권고.hwp에서 실행된 프로세스 확인 -> Command line 경로 확인 -> gbb.exe 원인 바이너리 의심
2. 취약점 최초 발현 시각 찾기
- 최초 시각 찾기
- UTC time : 협정세계시
- UTC time +0900 = 우리나라 시간
FLAG
FLAG{취약점 최초 발현 시각, 원인 바이너리}
=> FLAG{202109_09_05_47_35%Programfiles(x86)%_hnc_common80_imgfilters_gs_gs8.60_gbb.exe}
