Defcon-2018 File Server - Advanced

Defcon-2018

File Server - Advanced

• File info :
• md5 / sha :

(문제 풀이)

Advanced1

 

 

FTK imager | VSS

Hex 값 → 경로 +

\\?\GLOBAL.R.O.O.T.\.D.e.v.i.c.e.\.H.a.r.d.d.i.s.k.V.o.l.u.m.e.S.h.a.d.o.w.C.o.p.y.1.\.\.?.?.\.G.L.O.B.A.L.R.O.O.T.\.D.e.v.i.c.e.\.H.a.r.d.d.i.s.k.V.o.l.u.m.e.S.h.a.d.o.w.C.o.p.y.1.\.

\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Advanced2

vshadowinfo | vss 체크 +

→ Creation time | Aug 07, 2018 20:13:26.796375000 UTC

Advanced3

이벤트 로그

C:\Windows\System32\winevt\Logs\Microsft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx

세션 연결 | 네트워크 주소 : 74.118.138.195

Advanced4

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\~~\Count

PrivaZer.exe | PrivaZer → 아티팩트 삭제 도구

PrivaZer

Advanced5

Projections.zip 및 vss 마운팅 및 색인시

FileServerShare.zip과 같이 ZIP 파일 확인 가능.

→ 체크시, 프로젝트 내용 확인 +

→ FileSever.zip

Advanced6

RDP → RDP 연결시 rdp cache가 남게 됨

USERPROFILE\AppData\Local\Microsoft\Terminal Server Client\Cache

bcache22.bmc → Bitmap Cache Parser 사용

이미지 추출

위처럼 이미지 추출이 가능하며, Dropbox를 통해, 파일을 빼돌렸다고 볼 수 있는 정황을 확인할 수 있습니다.

www.dropbox.com | + Chrome 아티팩트 +

Advanced7

위 RDP 비트맵 캐쉬를 기반으로, 드롭박스를 통해 유출했다는 것을 알 수 있으며,

이를 키워드로 삼아, urls에서 찾게 되면,

위 사진처럼 유출 URL를 확인할 수 있습니다.

Advanced8

RDP 캐쉬 부분을 보다보면, 레지스트리 파일 2개를 드래그한 흔적을 확인할 수 있습니다.

SAM | SYSTEM

그것과 별개로 앞에서, 레지스트리를 압축한 정황에서도 힌트를 받을 수 있을 것 같습니다.

Advanced9

최근 사용 흔적 → PrivaZer

해당 툴을 사용해 진행했다 판단하고, 인증한 결과, 정답이였습니다.

PrivaZer.exe

Advanced10

RDP Bitmap 및 RDP 흔적 +

→ RDP