[ KDFS 2022 ] 학생트랙 후기 및 KDFS 2023 학생 트랙 팀원 모집

우리팀은 수상에 실패했다. 실패한 이유는 내가 제일 가장 잘 안다.

첫 대회인만큼 모두가 어설펏고, 모두가 삽질을 했다. 나 말고 포렌식에 대한 지식이 비교적 너무 낮았다는 것이 사실 가장 큰 이유였다. 급하게 또 한정적인 사람들 중 대회를 나갈 사람을 뽑다 보니, 지식의 부족이 가장 컷고, 툴을 사용할 줄 모르고 능동적인 분석을 각자 못했다는 아쉬움이 가장 컷던 대회인 것 같다.

 

내가 1차적으로 제출했던 보고서는 부끄러워서 보여줄 순 없고, 군 입대를 앞두고 나중에 다시 대회를 나갔을 때 이런식으로 보고서를 써야지 하고 썻던 보고서를 여기에 리뷰를 해보며, 앞으로의 대회에서 이 보고서를 기초 틀로 다시 한 번 도전해보고 싶다.

 

당신이 포렌식을 공부하는 학생인데, 마땅히 나갈 팀이 없다면 또 팀을 구하고 싶다면 오픈채팅에

[포공학] 포렌식을 공부하는 학생들의 모임을 검색하고 들어와라. 내가 있을 것이고, 당신에 실력에 당신이 자신감이 있다면 나는 언제나 환영이다. 같이 공부해서 이번 KDFS를 수상해보자! 

 

자 그럼 서론을 뒤로하고 내가 쓴 보고서를 보여주며 이번 문제에 대한 후기를 작성해보겠다.

 

목차

나는 일단 6개의 목차로 보고서를 작성했다.

 

I 서론의 일부

일단 서론에서는 분석했던 파일에 대한 정보와 분석에 사용했던 툴 그리고 분석에 대한 개요를 서론에 넣었다.

 

II 대상 시스템 및 장치의 일부

설치된 프로그램 목록의 일부

2장에서는 피해자 컴퓨터에 대한 구체적인 정보에 대해 서술하여봤다.

 

III 분석 중 일부

III 분석에서는 타임라인을 시작으로 나타내고 있다. 사실 여기서 부턴 조금 말이 어색한 부분도 있을 것 이고,

시간의 순서가 엉망인 부분도 있다. 그 부분은 내가 블로그에 올리기 민망하여 최소화하여 올릴 것 이다.

다시 한 번 말하지만 이 보고서는 앞으로의 보고서의 틀로 쓰일 것 이며, 다음 대회 보고서 리뷰에는 더욱 완벽한 보고서를

토대로 수상하여 리뷰를 하도록 최선을 다할 것 이다.

 

KDFS 2022 내가 쓴 보고서의 타임라인

자 이게 내가 쓴 타임라인의 이미지이다.

최초 14.47.237.105 IP에서 RDP를 통하여 최초 접속이라고 나와있는데

 

사실 지금 봐도 RDP라는 사실을 안다면 당연하다고 생각하겠지만, RDP라는 것을 모르고 이 문제를 봤다면, 조금 의야한 케이스일 것 이다. 일단 RDP로 해커가 최초 접속을 했다는 주장을 뒷바침 하는 근거는 RDP로 접속한 IP에서 공격자는 2022년 9월 30일 20시 15분 유출된 계정으로 추정되는 automater 계정을 이용하여 피해 시스템에 침투하였다. 같은 시각 33분에 피해자 컴퓨터에 user(S-1-5-21-2140015087-4181468359-3660305748-1003)이름으로 계정을 생성하였다.

 

이 후 이 user라는 계정에서 공격자는 9월 30일 20시 35분 choco를 이용하여 nmap을 포트 스캔 목적으로 다운로드 하였으며, 41분경 175.195.149.1/24을 타깃으로 정한 것으로 확인된다. 공격자는 같은 시각 54분에 choco를 이용하여 디렉토리 및 파일 탐색 도구로 쓰이는 Everything를 다운로드 하였으며, Everything를 이용하여 파일을 탐색하고 21시 03분 choco를 이용하여 압축 유틸리티인 7-zip.portable을 다운로드 하여 21분에 7za.exe를 엑세스한 것으로 확인되고 48분에 모든 압축을 마친 것으로 확인되었다.

 

공격자는 같은 시각 48분에 curl.exe를 이용하여 700MB(753701295byte)에 전송을 마친 것으로 확인된 것으로 보아 파일이 유출되었음을 추정할 수 있다.

 

공격자는 22시 13분 PowerShell을 이용하여 base64로 인코딩된 하이브 랜섬웨어인 test.txt를 다운받았다. 3분 뒤인 16분 PowerShell을 이용하여 디코딩 후 test.exe을 실행시켰고, 107,387개의 파일을 암호화 시킨 것으로 확인된다. 그 후 10분 뒤인 26분에 test.exe가 삭제되었다.

 

다음날인 2022년 10월 1일 5시 50분에 방글라데시의 IP인 45.115.115.76을 시작으로 무작위 대입 공격이 시작되었다.

 

공격은 약 36개의 IP로 공격이 왔고 10여 개의 다양한 나라의 IP가 공격에 사용된 것으로 확인된다.

 

그 중 7시 57분에 192.160.42.136의 브라질 IP에서 시도한 공격이 성공한 것으로 확인 되었으나, 그 후 바로 연결이 끊어진 로그가 발견되었기에 피해는 없는 것으로 추정한다.

III 분석 중 마이티 어택

 

마이티 어택은 간단하게 침해사고 및 사이버 공격이 있었을 때, 공격자가 피해컴퓨터에 하였던 대표적인 행위를 분류하고 행위에 대하여 보다 쉽게 설명할 수 있도록 만든 가이드라인이다. 이 부분을 통하여 전체적인 공격의 흐름을 파악할 수 있고, 어떤 피해를 입었는지를 간략하게 확인할 수 있도록 만든 부분이다.

 

3.3 상세 분석 중 일부

[1]번을 본다면 14.47.237.106 IP에서 최초 접속 한 후 user라는 계정을 만들고 user라는 계정으로 재 접속한 로그를 확인할 수 있다. 이 후에 내용은 이제 너무 횡설수설한 내용이 많아 상세 분석에 대한 설명은 조금 뒤로하겠다.

궁금한 사람은 오픈채팅방에 와서 pdf를 달라고 해라 ! 그럼 내가 쓴 보고서를 주도록 하겠다.

IV 분석 결과

분석 결과에서는 분석에 대한 결론을 서술했다. 피해자가 어떤 이유로 컴퓨터에 느림을 느꼈는지 공격자는 어떤 유형으로 pc에 최초 접속하였는지 어떤 방법으로 랜섬웨어 공격을 하였고 유출에 대한 피해가 있고, 추가 피해 여부는 있는지를 서술 하였다.

 

 

뭐 크게 이게 내가 쓴 보고서의 간략한 내용이다. 간추린 내용이 많아서 이게 도움이 될까 모르겠지만, 그래도 조금이라도 도움이 된다면 좋겠다. 이제부턴 내가 수상에 실패한 이유에 대해 구체적으로 설명하겠다. 내가 위에서도 말했지만, 나를 제외한 팀원들이 그렇게 포렌식에 대해 흥미가 크지 않았던 점과 팀원들의 대한 탓을 제외한 나의 잘못에 대해 적어보겠다.

 

1차적으로 '공격의 근원지' 즉, 최초로 어떻게 해커가 컴퓨터에 침입했나?라는 부분에서 시간을 너무 많이 썻다.

내가 처음 썻던 보고서를 보면 나는 해커의 최초 유입경로를 알아내는데에 실패하였다. 이 부분만 봐도 내가 수상을 실패한 이유가 명백하다. 모든 공격을 넓게 보고 공통점을 찾은 후 공통된 키워드를 머릿속으로 마인드맵을 그려가며 찾아야하는데 마음만 앞서 내 모토인 Slow is Smooth, Smooth is Past라는 말을 까먹고 분석을 했던게 최대의 실수라고 생각한다.

 

또한, 보고서는 있는 그대로의 내용만을 서술해야한다. 내 추측이 아닌 분석을 하며 100% 정확하게 보이고 모든 근거가 뒷바침을 해주는 말을 서술해야하는데, 첫 단추가 엉망이여서 그런가, 아예 처음 부분을 억측으로 적어버린 것 또한 나의 잘못이다.

 

첫 KDFS인 만큼 그리고 첫 보고서였던 만큼 내 자신에게 부끄러웠던 점도 있었고, 포기하지 않은 내 자신이 자랑스러웠던 부분 또한 존재한다. 이번 KDFS는 꼭 수상을 위해 더욱 노력할 것이고, 항상 최선을 다해 공부할 것을 다시 한 번 다짐한다.