목록피에스타2024 (1)
foreaser 님의 블로그
금융보안원 피에스타 2024(Fiesta 2024) IR-1 Write-up
침해사고 대응(IR) 파트는 총 5개의 문제가 있었으며 1,2,5 번은 PC 이미지를 주고 분석하는 형식, 3,4 번은 악성코드로 의심되는 파일을 주고 분석하는 형식이었다. 대회에서 제공한 파일을 다운로드 받으면 분할된 vmdk파일들이 존재한다. FTK imager로 "Windows 10 x64.vmdk" 메인 파일을 열어서 여러 포터블 도구들로 분석해도 되고 통합 포렌식도구(autopsy, axiom 등)를 이용해도 좋을 듯했다. 나는 Magnet Axiom을 이용해 분석해보았다. (실제 대회 당시에 풀이한 내용보다 글 작성 시 재구성하며 추가된 내용이 있어 풀이가 조금 길다.) 제일 먼저 Axiom Process로 vmdk 파일을 Axiom에 불러오면 시나리오에 맞게 특정 파티션이 암호화 되어있음을 ..
CTF/Digital Forensic
2024. 11. 16. 03:40