[Forensic] Command & Control - level 2

 

문제를 확인해 보면 유효한 flag는 workstation's hostname 이라고 되어 있는데 workstation's hostname은 COMPUTERNAME을 의미합니다.

 

COMPUTERNAME을 알고 있다면 이문제를 쉽게 풀수 있습니다.

 

password : WIN-ETSA91RKCFP

 

 

 

COMPUTERNAME 을 몰랐다면 다음과 같은 방식으로 문제를 해결할 수 있습니다.

 

imageinfo 플러그인을 이용해서 운용체제 정보을 확인해 본 결과 Win7SP0x86, Win7SP1x86 임을 알수 있었습니다.

해당문제에서 원하는 것은 workstation hostname 이기 때문에 해당 정보가 저장되어 있는 레지스트리는 SYSTEM 레지스트리 입니다.

 

메모리상에 놓여져 있는 SYSTEM HIVE의 주소를 찾아야 하기 때문에 이번에는 hivelist 플러그인을 이용해 보겠습니다.

 

이제 해당 주소를 찾았기 때문에 hostname을 알아보겠습니다.

 

hostname 을 알아내기 위해서 printkey 와 함께 여러 옵션을 넣어 줘야 하는데  HIVE OFFSET을 의미하는 -o 옵션과 레지스트리 값을 출력하는 -K 옵션을 넣어주면 되는데 어떤 경로의 레지스트리 값을 출력하는지 작성해야 하는데 다음과 같이 0x8b21c008 하위에 어떠한 Subkey 를 가지고 있는지 목록이 나옵니다.

 

서브키에 ControlSet001이 있습니다. 한번 들어가 볼게요!

 

 

또한번 Control 서브키로 들어가 보면 ComputerName 서브키를 확인 할 수 있습니다.

 

 

엄청 많은 서브키중 hostname과 가장 밀접한 ComputerName  서브키가 있었고 계속 들어가 보면 곧 hostname이 나올 것 같습니다.

 

ComputerName으로 다시 들어가보면 다음과 같이 출력이 됩니다.

 

ComputerName은 WIN-ETSA91RKCFP 입니다.