[2021화햇예선기출] G-1 공격자-희생자 통신 시작

0_0·2023년 9월 10일
0

2021화햇기출

목록 보기
13/14

독학선생님 => https://hackingstudypad.tistory.com/m/583

1. 공격자-희생자 통신 시작 찾기

  • 로그 분석
    • 2021화햇기출
      • eventvwr에서 sysmon로그파일 확인 -> .xml로 저장
      • 로그 분석
  • 결과
    • sysmon로그 탐색
      • 윈도우+r -> eventvwr -> 응용 프로그램 및 서비스 로그-Microsoft-Windows -> sysmon 로그 아래 Operational 우클릭 -> 다른 이름으로 모든 이벤트 저장 -> sysmon.xml로 저장
    • sysmon로그 분석
      • Sysmon View 사용 -> sysmon.xml 확인 -> powershell.exe 확인 (이전에도 powershell 코드 많이 사용됨) -> 로그 분석 -> 2021-09-08 05:53:48 (UTC +9) 시간에 powershell 로 base64 인코딩된 스크립트 실행된 것 확인
        -> base64 디코딩 -> 34.123.161.169 주소로 TCP 연결 확인 -> 해당 시각 확인

        -> 공격자 IP, 희생자 Local Port 확인

FLAG

FLAG{시각 목적지IP 출발지Port}
=> FLAG{2021_09_09_05_53_54_34.123.161.169_58014}

0개의 댓글