저미 보안공부

[Pay1oad 1st CTF] Silent Assistant: MCP 공급망 공격과 랜섬웨어

Pay1oad 1st Semester CTF · Digital Forensics + Reverse Engineering · 출제자 직접 작성 라이트업 안녕하세요. 이번 CTF에서 제가 출제한 마지막 문제, Silent Assistant를 정리합니다. 이 문제는 얼마 전 읽은 뉴스에서 아이디어가 시작됐습니다. AI 기능을 내세운 가짜 크롬 확장 프로그램으로, 정상 AI 도구로 위장해 배포됐는데, 실제로는 사용자 데이터를 수집해 서버로 유출됐다는 기사였습니다. 이 기사를 기반으로 AI 도구를 쓰는 순간이 유출 트리거가 되는 시나리오를 작성해 보고 싶었습니다. 따라서, 이번 문제는 AI 코딩 도구에 등록된 악성 MCP 서버가 공급망 공격의 통로가 되는 상황을 디스크 이미지(E01) 한 장으로 재구성하는 문제입..

[Pay1oad 1st CTF] Ghost Process: 메모리에서 cmdline 찾기

Pay1oad 1st Semester CTF · Forensics(Memory Analysis) · 출제자 직접 작성 라이트업 안녕하세요. 이번에는 Pay1oad 1기 CTF의 메모리 분석 문제 Ghost Process를 정리합니다. 약 2GB짜리 Windows 메모리 덤프 하나가 주어지고, 그 안에 숨은 악성 프로세스와 플래그를 찾는 문제입니다. 0. 문제 개요- 문제명: Ghost Process- 카테고리: Memory Analysis- 시나리오: 공격자가 악성 파일을 실행했다. 현장에서 수거된 메모리 덤프를 분석하여 악성 프로세스를 찾고 숨겨진 플래그를 찾아라.- 핵심 프로세스: svch0st.exe - payload 형태: Base64 문자열 1. 의심 프로세스 식별도구: Volatility 3..

[Pay1oad 1st CTF] Knock Knock: evtx와 pcap 시간 교차 분석

Pay1oad 1st Semester CTF · Forensics(침해사고 분석) · 출제자 직접 작성 라이트업 안녕하세요. 이번에는 Pay1oad 1기 CTF에서 침해사고 분석 파트로 출제한 Knock Knock 문제를 정리해 봅니다. 단일 아티팩트 하나만 파면 끝나는 문제가 아니라, 두 개의 서로 다른 아티팩트(이벤트 로그 + 패킷 캡처)를 '시간'이라는 공통 키로 엮어야 답이 나오는 문제입니다. 0. 문제 개요- 문제명: Knock Knock- 카테고리: 침해사고 분석- 배포파일: Security.evtx, capture.pcap- 시나리오: 공격자가 내부 서버에 침투한 정황이 포착되었다. 어떤 계정으로 침투했는지 확인하고, 침투 이후 다운로드한 파일명을 찾아라. pcap에 HTTP 요청이 약 ..