1. 사전 준비
- Python 설치
- Volatility 설정
- https://github.com/volatilityfoundation/volatility3/releases
- requirements.txt 설치
- 메모리 다운로드 (비밀번호
infected
)
- pestudio 다운로드 (3번 문제)
2. 문제
Q1. What was the date and time when Memory from the compromised endpoint was acquired?
- 다음의 명령어로 정보 확인
- 코드를 불러오는 중 입니다 ...
정답
2022-07-26 18:16:32
Q2. What was the suspicious process running on the system? (Format : name.extension)
- 다음의 명령어로 프로세스 정보 확인
- 코드를 불러오는 중 입니다 ...
- 다음의 명령어로 명령어 정보 확인
- 코드를 불러오는 중 입니다 ...
- 참고
- 프로세스 목록을 살펴보면 lsass.exe가 두번 포착되는데 lsass.exe 개수는 1개여야 하며, 경로는 C:\Windows\System32\lsass.exe이다
정답
lsass.exe
Q3. What was the suspicious process running on the system? (Format : name.extension)
- 아래의 명령어로 dmp 파일 생성
- 코드를 불러오는 중 입니다 ...
- pestudio로 덤프 파일 확인
정답
winPEAS.exe
Q4. Which User Account was compromised? Format (DomainName/USERNAME)
- 아래의 명령어로 session 확인
- 코드를 불러오는 중 입니다 ...
정답
MSEDGEWIN10/CyberJunkie
Q5. What is the compromised user password?
- 아래의 명령어로 NTLM 해쉬값 확인
- 코드를 불러오는 중 입니다 ...
- NTLM 복호화
정답
password123