#About
크레센도 그룹의 보안담당자 P씨는 사내 보안 정기 점검 중 내부 네트워크의 도메인 컨트롤러가 침해당했음을 확인했다. 해당 머신의 Security 이벤트 로그를 통해 아래와 같은 정보를 확인하시오.
1. 가장 먼저 생성된 "일반" 사용자 계정의 이름
2. 해당 일반 사용자 계정(1번 문항)의 생성 시점
3. 해당 일반 사용자 계정(1번 문항)이 SID History Injection 공격을 성공한 시점
2,3번 문항의 시점은
YYYY-MM-DD hh:mm:ss (UTC+9 24hour) 포맷임.
답 포맷 : [1번 답]_[2번 답]_[3번 답]
Ex CRE_2015-01-28 11:16:33_2015-02-14 22:11:33
#Solution
[그림 1] - 문제 파일 확인
위 화면은 해당 문제에서 제공받은 이벤트 로그 파일을 윈도우에서 제공하는 이벤트 뷰어로 실행한 화면이며 발생한
이벤트 수가 2,910개로 일일이 확인할 수 없으므로, 필요한 로그만 확인하기 위해 현재 로그 필터링의 기능을 아래와 같이 이용하려고 한다
[그림 2] - 로그 필터링 폼
원하는 이벤트 로그를 확인하기 위해서는 먼저, 이벤트 별 각기 다른 이벤트 ID를 알아야 한다
첫 번째 문제에서 요구하는 것은 사용자 계정 생성이므로 사용자 계정과 관련한 이벤트 로그 ID를 검색결과 4720임을 알 수 있었다
[그림 3] - 계정 관리 관련 이벤트 ID ( .evtx에 해당)
[그림 4] - 일반 사용자 계정 생성 확인
필터링 된 결과 중 2016-10-14 오전 7:13:56분에 로그 정보를 확인 결과 SID 값 1104를 가지는 JDazz라는 일반 사용자 계정이 생성됨을 확인할 수 있었다
[그림 5] - SID 값 정보
위 그림을 확인하면 도메인 뒤의 숫자는 계정의 고유 번호를 의미하며 500은 관리자, 501은 게스트를 의미하며 자세한 사항은 아래에서 확인할 수 있다
일반 사용자 계정을 생성하면 [그림 4]와 같이 1000 이상의 숫자가 할당되며 이는 일반적으로 리눅스 시스템에서도 동일하게 적용된다
[그림 4]의 일반 사용자 계정 생성 확인을 통해 1,2번 문제를 해결 했고, 문제에서 마지막으로 요구하는 것은 SID History Injection 공격을 성공한 시점이다
SID History Injection이란 사용자를 식별하는 SID 값을 임의로 변경하는 공격으로, 해킹에 필요한 권한을 가지고 있는 계정을 얻기 위해 사용 된다
따라서 확인해야 할 것은 사용자 계정 변경과 관련한 로그이며 [그림 3]에서 볼 수 있듯 변경된 사용자 계정을 의미하는 이벤트 ID 값은 4738에 해당한다
[그림 6] - 변경된 사용자 계정 이벤트 목록
SID History Injection은 SID 값을 변경하는 것이기 때문에 로그 정보에서 SID 기록이 변경되어 있는 부분을 확인하면 되며 그 정보는 아래와 같다
[그림 7] - SID History Injection Attack
SID History Injection 공격이 성공한 시점은 2016-10-14 오후 10:00:04이며 일반 사용자 계정인 1104에서 관리자 계정을 의미하는 500으로 계정이 변경되었다
Answer = JDazz_2016-10-14 07:13:56_2016-10-14 22:00:04
'Wargame' 카테고리의 다른 글
| [Cresendo] EventLog Problem 03 (0) | 2017.11.06 |
|---|---|
| [Cresendo] EventLog Problem 02 (0) | 2017.11.06 |
| [Cresendo] Prefetch Problem 03 (0) | 2017.11.05 |
| [Cresendo] Prefetch Problem 02 (0) | 2017.11.05 |
| [Cresendo] Prefetch Probelm 01 (0) | 2017.11.04 |
