[2019 사이버작전경연대회][Forensic] Industry

라업을 올리는 기간을 감안해서 진작 라업을 작성하고 이제서야 올리게 되었습니다.

문제 한번 보시죠!ㅎㅎ

위 문제 사진에는 0 solves로 되어 있지만 결국 풀리고.. 풀려서 100pt.가 된 문제..ㅠ

 

문제 파일을 받아보면 여러가지의 파일이 있습니다.

 

config 는 중요 레지스트리 파일

Industry 는 vmdk 파일과 vmx

Logs는 각종 이벤트 로그인 .evtx가 있습니다.

 

vmdk 파일을 먼저 FTK Imager에 넣어보겠습니다.

 

Basic data partition 이 약 60 기가 입니다.

한번 확인해 보면 root 아래에 바로 Users가 있는 거로 보아 주 파티션이 아닌 부 파티션으로 생각이 됩니다.

 

Desktop과 Downloads에는 텅 비어 있었지만 Documents에는 삭제 되었던 파일인 직박구리가 있었습니다.

 

직박구리 폴더 안에 confidential 이라는 기밀 폴더가 있었습니다.

 

직박구리 폴더에 ssl 관련 파일이 2개나 있어서 ssl 통신 로그 확인 후 기밀 유출 파일을 찾는 문제 인줄 알았으나.. 그런 로그는 없는거로..

 

confidential 폴더에있는 기밀문서같은 파일은 다음과같은 기지 평면도 작성중.hwp 파일입니다.

 

Flag 형식을 확인해 보면 FLAG{이동 폴더명_기밀유출된 파일title_기밀 유출된 시간} 이므로 기지 평면도작성중 타이틀을 확인해 보겠습니다.

 

FLAG{ _hwpisawesome_ }입니다.

 

vmdk 이미지 파일을 잘 살펴 보면 confidential 폴더가 총 3개가 있습니다.

 

root\Users\Sans\Documents\직박구리\confidential

 

orphan\직박구리\confidential

 

root\Users\Sans\AppData\Local\Microsoft\Windows\Burn\Burn\confidential

 

그중에 root\Users\Sans\AppData\Local\Microsoft\Windows\Burn\Burn\confidential 경로에 있어야 하는 기지평면도작성중.hwp 파일이 없습니다.

 

아래의 사이트를 보면 해당 경로가 어떤 경로 인지 알수 있습니다.

http://forensic-proof.com/archives/5375

 

 

CD/DVD 플레이어의 사용에 대한 흔적이 남는  곳이라고 되어 있기 때문에 cdrom을 썻을 가능성이 있어서 이벤트 로그를 확인해 보겠습니다.

 

그전에 지금 까지 찾은 내용을 바탕으로 Flag는 다음과 같습니다.

FLAG{confidential_hwpisawesome_ }

 

cdrom 이벤트는 System.evtx에 이벤트 ID 133번에 있습니다.

 

이중 먼저 로그에 기록된  시간이 파일의 이동 시간 입니다.

 

20190804014650!

 

Flag : FLAG{confidential_hwpisawesome_20190804014650}