저미 보안공부

[Pay1oad 1st CTF] Silent Assistant: MCP 공급망 공격과 랜섬웨어

Pay1oad 1st Semester CTF · Digital Forensics + Reverse Engineering · 출제자 직접 작성 라이트업 안녕하세요. 이번 CTF에서 제가 출제한 마지막 문제, Silent Assistant를 정리합니다. 이 문제는 얼마 전 읽은 뉴스에서 아이디어가 시작됐습니다. AI 기능을 내세운 가짜 크롬 확장 프로그램으로, 정상 AI 도구로 위장해 배포됐는데, 실제로는 사용자 데이터를 수집해 서버로 유출됐다는 기사였습니다. 이 기사를 기반으로 AI 도구를 쓰는 순간이 유출 트리거가 되는 시나리오를 작성해 보고 싶었습니다. 따라서, 이번 문제는 AI 코딩 도구에 등록된 악성 MCP 서버가 공급망 공격의 통로가 되는 상황을 디스크 이미지(E01) 한 장으로 재구성하는 문제입..

[Pay1oad 1st CTF] Ghost Process: 메모리에서 cmdline 찾기

Pay1oad 1st Semester CTF · Forensics(Memory Analysis) · 출제자 직접 작성 라이트업 안녕하세요. 이번에는 Pay1oad 1기 CTF의 메모리 분석 문제 Ghost Process를 정리합니다. 약 2GB짜리 Windows 메모리 덤프 하나가 주어지고, 그 안에 숨은 악성 프로세스와 플래그를 찾는 문제입니다. 0. 문제 개요- 문제명: Ghost Process- 카테고리: Memory Analysis- 시나리오: 공격자가 악성 파일을 실행했다. 현장에서 수거된 메모리 덤프를 분석하여 악성 프로세스를 찾고 숨겨진 플래그를 찾아라.- 핵심 프로세스: svch0st.exe - payload 형태: Base64 문자열 1. 의심 프로세스 식별도구: Volatility 3..

[Pay1oad 1st CTF] Knock Knock: evtx와 pcap 시간 교차 분석

Pay1oad 1st Semester CTF · Forensics(침해사고 분석) · 출제자 직접 작성 라이트업 안녕하세요. 이번에는 Pay1oad 1기 CTF에서 침해사고 분석 파트로 출제한 Knock Knock 문제를 정리해 봅니다. 단일 아티팩트 하나만 파면 끝나는 문제가 아니라, 두 개의 서로 다른 아티팩트(이벤트 로그 + 패킷 캡처)를 '시간'이라는 공통 키로 엮어야 답이 나오는 문제입니다. 0. 문제 개요- 문제명: Knock Knock- 카테고리: 침해사고 분석- 배포파일: Security.evtx, capture.pcap- 시나리오: 공격자가 내부 서버에 침투한 정황이 포착되었다. 어떤 계정으로 침투했는지 확인하고, 침투 이후 다운로드한 파일명을 찾아라. pcap에 HTTP 요청이 약 ..

[Pay1oad 1st CTF] Just Trick

2026 Pay1oad 1st Semester CTF · Forensics(Steganography) · 출제자 직접 작성 라이트업 안녕하세요2026 Pay1oad 1st CTF에서 포렌식 파트로 출제한 Just Trick 문제의 출제 의도와 풀이를 정리해 봅니다. 이름 그대로 암호화처럼 보이게 만든 트릭이 핵심인 문제입니다. 1. 문제 개요- 문제명: Just Trick- 카테고리: Steganography- 시나리오: 이미지 너머에 숨겨진 진실을 찾아 플래그를 획득하세요! Pay1oad{flag} 2. 배포 파일 명세- 포맷: PNG- 임베드 위치: PNG IEND 청크 이후- 임베드 포맷: ZIP (Local File Header 50 4B 03 04)- 내부 파일: flag.txt- 암호화 방식..

침해사고대응[사고 전 준비 과정]→[사고 탐지]→[초기 대응]→[대응 전략 체계화]→[사고 조사]→[보고서 작성]→[복구 및 해결]사고 전 준비탐지 체계 수립, 로그 정책 설정, 백업사고 탐지이상 징후, 알림, 침해지표(IoC) 분석초기 대응감염 확산 방지, 시스템 격리전략 체계화피해 범위 확인, C2 차단, 대응 방식 결정사고 조사 (포렌식)로그, 트래픽, 시스템 증거 분석보고서 작성원인, 경과, 대응 및 복구 내용 문서화복구 및 예방손상 복원, 패치 적용, 보안 강화 증거 수집/분석로그, 네트워크, 파일 등에서 침입 흔적 추적공격 방법 분석침입 경로, 악성코드 동작, 탈취된 정보 확인법적 대응 지원절차적 정당성 + 무결성 확보 → 증거능력 확보복구 방향 제시손상 위치 파악 → 정확한 기술 복구 가능보..

네트워크1) SYN Flooding 공격SYN Flooding은 TCP 3way 핸드셰이크 중 ACK 단계를 생략해 서버를 연결 대기 상대로 고정시키는 DoS 공격공격자가 대량의 SYN 패킷을 보내고 응답하지 않으면 서버는 계속 리소스를 점유하게 되고 정상 사용자의 접속이 거부된다.대표적인 방어 기법은 SYN Cookies로 서버가 실제로 연결 정보를 저장하지 않고 응답을 임시 처리하는 방식* 3way 핸드셰이크 : C가 S에 SYN 요청 → S가 C에 SYN+ACK 응답 → C가 S에 ACK 확인 2) DDoS 개념 및 SYN Flood 연계DDoS는 여러 대의 공격자가 동시에 특정 서버에 대량의 요청을 보내 자원을 고갈시켜 정상적인 서비스 제공을 막는 공격이 중 SYN Flooding은 TCP 연결 ..

1) A 사건 수사 중 B 사건 흔적을 발견했을 때 어떻게 대처할까? 해당 수사의 압수수색 영장이 A 사건 관련 디지털 증거 수집만을 허용한 경우 수사 중 B 사건 정황을 발견하더라도 그 내용을 바로 수사하거나 제출하면 위법 수집이 될 수 있다. 반드시 수사 책임자에게 상황을 보고하고 정식으로 추가 압수수색 영장을 신청해 확보 범위를 확대해야 한다. 2) 선별 압수수색전자정보처럼 디지털 증거가 방대한 경우, 현장에서 전체 디스크나 저장장치를 일괄 이미징한 뒤, 수사기관과 피의자 측 변호인이 함께 참여한 상태에서 필요한 정보만 골라내어 압수하는 방식* 미란다 원칙 : 진술과정에서 변호사 선임권, 진술 거부권을 고지하지 않고 받은 진술은 증거로 채택될 수 없다는 원칙인데 압수수색할 때는 필요가 없고 진술을 ..

비트로커1) 비트로커와 비트로커 걸린 PC 분석Windows 에서 제공하는 전체 디스크 암호화 기능Vista 이후 버전부터 사용 가능TPM, 패스워드, USB 키 등으로 잠금 해제 필요기밀성과 무결성 보장 Windows 10/11 Pro부터 비트로커 메뉴가 기본 내장됨 2) 분석 방식디스크가 복호화된 상태인지, 잠긴 상태인지에 따라 달라진다.복호화된 상태에서는 FTK Imager 같은 도구로 논리 볼륨 이미지를 추출해 분석 가능잠긴 상태에서는 RAM(휘발성 메모리) 덤프를 확보할 뒤 Volatility 같은 메모리 분석 도구로 복호화 키를 추출해야 한다.TPM이 키를 관리하고 AES 기반으로 디스크를 암호화하기 때문에 복호화 키 없이는 직접 접근이 어렵다.도구를 사용하여 부팅된 상태에서 메모리 수집을 ..

1) 섹터, 클러스터, 실린더, 블록섹터(Sector)디스크에서 가장 작은 저장 단위 (보통 512 byte 또는 4096 byte)클러스터(Cluster)하나 이상의 섹터로 구성된 단위. 파일 시스템에서 사용하는 최소 할당 단위블록(Block)주로 유닉스 계열(ext4 등)에서 사용하는 저장 단위, 클러스터와 유사실린더(Cylinder)하드디스크에서 트랙들의 수직 결합 단위, 요즘은 논리적 의미로만 사용됨 (HDD 구조 개념) 2) 포렌식 5원칙디지털 포렌식에서 가장 중요한 건 증거의 법적 효력을 보장하는 것정당성 : 법적 절차에 따라 영장 등을 기반으로 증거 수집무결성 : 해시값을 통해 수집 전후 데이터가 변조되지 않았음을 증명재현 가능성 : 표준화된 절차를 따르면 누구나 같은 결과 도출신속성 : 휘..

1) 파일시스템 손상 시 복구파일 시스템이 손상되었을 땐 먼저 디스크 전체 이미징을 통해 원본을 보존이후 복구 방식은 파일 시스템 구조에 따라 달라진다.NTFS나 ext4처럼 메타데이터가 구조적으로 잘 잡힌 경우는 MFT나 inode 기반으로 파일 위치를 추적할 수 있다. 메타데이터까지 손상되었다면 시그니처 기반 카빙으로 파일의 시작과 끝 패턴을 추적하거나 저널링 구조가 있다면 분석하여 상태 복원 시도 2) 파일 카빙 vs 메타데이터 기반 복구 메타데이터 기반 복구는 MFT나 inode 처럼 파일의 위치, 크기, 속성 등을 추적할 수 있는 정보를 바탕으로 진행, 정확도와 신뢰도가 높고 단편화된 파일도 잘 복구된다. 파일 카빙은 시그니처 기반으로 시작과 끝을 찾아 복원하는 방식이라 단편화에 취약하고 오탐..