사이버공격방어대회(CCE) 예선 문제 중 forensic 문제를 하나 풀어보았다.
<과정>
1. 문제 파일 다운로드 및 해석
- 문제 파일은 .evtx로 되어 있었다.
- linux에서 file 명령어를 활용하여 해석한 결과 MS Windows Vista Event Log 라는 것을 알았다.
2. 이벤트 로그 분석
- windows에서 해당 파일을 열어본 결과 cmd를 실행한 로그를 발견하였다.
- 난독화가 되어있으며 난독화 패턴이 주어졌다.
- python을 활용하여 난독화 패턴을 txt 파일로 받았을 때 해결하고자 하는 문자열 입력받고 치환하는 코드를 구성했다.
def create_dictionary_from_file(file_path):
pattern_dict = {}
with open(file_path, 'r') as file:
for line in file:
line = line.strip()
if '=' in line:
key, value = line.split('=', 1)
pattern_dict[key.strip()] = value.strip()
return pattern_dict
def replace_patterns(string, pattern_dict):
for key, value in pattern_dict.items():
string = string.replace(key, value)
return string
<후기>
사실 CTF를 예전에 한번 해보고 이후 안한 사람으로서 이번 문제는 좋은 스타트 문제라고 생각한다. 파이썬 코드만 잘 짜면 금방 해결할 수 있을 것으로 생각된다. 파이썬 공부도 다시 해야할 것 같다.
혹시라도 CTF 문제를 처음 접해보시거나 풀어보고 싶으신 분은 다음 링크에서 CCE 모의체험을 신청하여 풀어볼 수 있다(신청: 5.22~6.7, 체험기간: 6.1~6.8).
https://cce.cstec.kr/
2023 사이버공격방어대회
2023 사이버공격방어대회 국민안전을 위한 국가핵심기반시설 합동 방어 및 사이버 회복력을 점검하고, 미래 사이버보안 인재양성과 대국민 사이버보안 인식제고를 위해 2023 사이버공격방어대회
cce.cstec.kr
