보안 과정 형 평가 71일차 (2024.11.12)

=========================================================

 

이벤트예약 웹사이트를 운영하고 있는 "깜짝이야"사의 관리자 앞으로 한통의 협박 메일이 도착했다. 
당장 10억을 입금하지 않으면, 확보한 자사의 웹페이지 소스코드를 모두 공개할 것이며, 추가적인 위협을 가하겠다는 내용이다. 
관리자는 포렌식 전문가인 당신에게 침해사고 분석을 의뢰하였다. 

침해된 시스템에 남겨진 흔적과 각종 로그 파일을 분석하여 다음 사항을 밝혀내시오. 
A. 공격자가 웹페이지 소스코드를 유출한 시간(UTC+09:00)은?(yyyy-MM-dd_hh:mm:ss) 
B. 리버스쉘(Reverse Shell)을 동작시키는 프로세스 ID(PID)는? (10진수) 
C. 리버스쉘(Reverse Shell)에 대한 공격자 주소(IP)는?

1_로그분석 파일 분석하기

 

sublime 으로 분석하기

 

lastlog passwd 확인admin01:x:1000:1000:admin01,,,:/home/admin01:/bin/bash

dev:x:1001:1001:,,,:/home/dev:/bin/bash

ahnlab:x:1002:1002:,,,:/home/ahnlab:/bin/bash

 

history 확인

dev anlab   확인(안전함)

 

admin01은 일반사용자가 아님 , 권한을 많이 가질 수 있음

 

chmod 777 /var/www/upload/editor/image

 

dev      pts/0    192.168.184.161  10:11    4:47   0.11s  0.11s -bash
ahnlab   pts/1    192.168.184.136  10:14    0.00s  0.23s  0.07s sshd: ahnlab [p

 

원격지에서 들어온녀석은 192.168.194.162  ( 서비스 22, 80 137~138)

 

로컬PC

=========외부IP 들===========

192.168.184.161

192.168.184.136

121.160.150.29

175.198.9.152

==============================

144.206.162.21 웹서버에 접속을 했다

==============================

Mon Aug 27 10:15:56 KST 2012

 

www-data  5244   814  0 10:11 ?        00:00:00 sh -c php -f /var/www/upload/editor/image/reverse.php
www-data  5245  5244  0 10:11 ?        00:00:00 php -f /var/www/upload/editor/image/reverse.php
www-data  5247  5245  0 10:11 ?        00:00:00 sh -c /bin/sh -i <&3 >&3 2>&3
www-data  5248  5247  0 10:11 ?        00:00:00 /bin/sh -i
www-data  5249   802  0 10:11 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  5250   802  0 10:11 ?        00:00:00 /usr/sbin/apache2 -k start

=================================================================

 

112.216.97.27 - - [25/Aug/2012:17:18:32 +0900] "GET /upload/editor/image/cmd.php HTTP/1.1" 294 311 "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2;

 

112.216.97.29 - - [25/Aug/2012:17:18:51 +0900] "GET /upload/editor/image/cmd.php?cmd=cHdk 

HTTP/1.1" 200 323 "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2;

 

112.216.97.29 - - [25/Aug/2012:17:19:23 +0900] "GET /upload/editor/image/cmd.php?cmd=bHMgLWFsICAvdmFyL3d3dy91cGxvYWQvZWRpdG9yL2ltYWdlLw%20%20 HTTP/1.1" 200 13318 "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2;

 

112.216.97.29 - - [25/Aug/2012:17:21:12 +0900] "GET /upload/editor/image/cmd.php?cmd=dGFyIC1jdmYgL3Zhci93d3cvdXBsb2FkL2VkaXRvci9pbWFnZS8xMzMwNjY0ODM4IC92YXIvd3d3Lw%20%20 HTTP/1.1" 200 14541 "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2;

 

112.216.97.29 - - [25/Aug/2012:17:26:40 +0900] "GET /upload/editor/image/cmd.php?cmd=cGhwIC1mIC92YXIvd3d3L3VwbG9hZC9lZGl0b3IvaW1hZ2UvcmV2ZXJzZS5waHA%20 HTTP/1.1" 200 294 "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2;

 

cmd=cHdk    

==> pwd

 

cmd=bHMgLWFsICAvdmFyL3d3dy91cGxvYWQvZWRpdG9yL2ltYWdlLw%20%20

==> ls -al  /var/www/upload/editor/image/

 

cmd=dGFyIC1jdmYgL3Zhci93d3cvdXBsb2FkL2VkaXRvci9pbWFnZS8xMzMwNjY0ODM4IC92YXIvd3d3Lw%20%20

==> tar -cvf /var/www/upload/editor/image/1330664838 /var/www/

 

cmd=cGhwIC1mIC92YXIvd3d3L3VwbG9hZC9lZGl0b3IvaW1hZ2UvcmV2ZXJzZS5waHA%20

==> php -f /var/www/upload/editor/image/reverse.php6

 

==> 확인

 

A.25/Aug/2012:17:26:40 +0900

 

B.5244

 

C.

112.216.97.29

 

=========================================================

 

레지스트리 편집기

regedit

 

cmd 들어가서

whoami

desktop-hujuvss\administrator

 

whoami /user

사용자 정보
----------------

사용자 이름                   SID
============================= ===========================================
desktop-hujuvss\administrator S-1-5-21-49874448-3629835783-1052952759-500

 

 

파일에서

C:\Windows\System32\config

 

SAM

SECURITY

SOFTWARE

SYSTEM

Ntuser.dat

 

레지스트리 편집기

컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\hivelist

 

컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

 

컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IE40

 

컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName

 

컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Windows

 

 

저장매체연결흔적

컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB\VID_046D&PID_C092&MI_01\6&134ae1b8&0&0001

 

부팅시 자동 실행 되는 S/W 흔적

컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AlternateShells

 

컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

컴퓨터\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

파일

C:\Users\Administrator\AppData\Roaming\utorrent

 

파일

C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default

 

sqlitebrowser-3.8.0-win64v2.exe

==> 다운로드

==> .history 드래그해서 넣어주기

==> 내용 확인하기

 

chrome://history/

==> 기록 확인 (삭제하면 나오지않음)

 

=========================================================

 

경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세운다. 
경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다. 
경찰청은 인터넷에 떠돌아 다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다. 
어느날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 음란물은 완전삭제되어 있었다. 그래서 아동 음란물을 받은 흔적을 찾기 위해 증거들을 모두 분석하였지만 아동 음란물 다운로드에 대한 흔적은 존재하지 않았다. 
경찰청은 분명 다운로더가 아동 음란물을 받는 것을 트랙픽 모니터링을 통해 확인 하였고, 해당 트래픽 또한 증거로 가지고 있으나 결정적인 증거가 없어 해당 다운로더를 기소하지 못하고 있다. 
그래서 경찰청은 그대들에게 다음과 같이 요청한다. 
“다운로더를 기소할 수 있는 결정적인 증거를 찾아주세요!”

 

ftk imager 사용

 

시간 2012 12 24 4:37