Keyword: Memory Dump The investigator gained one dump file. The table shows the default option is below related to the dump file. The Result of the NtMajorVersion is 10. In other words, the system is working on Windows 10 OS. Kernel Base 0xf8002ec04000 DTB 0x1ab000 Symbols file:///home/kali/Desktop/volatility3/volatility3/symbols/windows/ntkrnlmp.pdb/D788F72ABE964EFCACAAD0276DAAE6CB-1.json.xz Is..

Hello guys. Welcome to my IR practice room. Today, I solved one problem 'Insurance' located in incident-response-challenge.com. Actually, you can get a flag easily. I had many questions about this challenge. Hence, I conducted a detailed analysis myself. While conducting the analysis, there was a lot of new knowledge and it was a good time to use the knowledge I had known before. The person who ..

Westeros.GOT사는 다수의 SQL Injection 공격을 WAF를 통해 탐지하였으며 서버 접근 권한을 SQL Injection으로부터 탈취당한 것에 두려움에 떨고 있다. 해당 고객사는 조사관에게 서버 탈취 여부에 대해 조사 요청하였다. 조사관은 Westeros사로부터 디스크 파일(‘2020-02-05T110520_SQL.vhdx’)을 전달받았다. 조사를 진행해보니, 해당 회사는 MSSQL을 이용하고 있었다. Microsoft SQL Server 2019 (RTM) - 15.0.2000.5 (X64) 뿐만 아니라, 서버 계정을 로그를 통해 살펴보니 ‘sa’계정을 그대로 이용중인 것을 확인하였다. 이 계정은 MSSQL 설치시 디폴트로 생성되는 계정이기 때문에 잘 알려진 계정이라고 볼 수 있다. 이 ..

2020년 02월 03일 Podrick으로부터 사건 의뢰를 전달받았다. 그의 동료 Theon G가 USB를 이용하여 자신의 정보를 훔쳐갔다는 의심을 하고 있다고 한다. 하지만, Theon G는 Aria를 만나러 사무실을 방문했을 뿐이고, Aria가 부재중이라 하릴없이 사무실을 나서는 와중에 Podrick과 마주하게 되었다고 한다. Podrick은 의심되는 USB의 Serial 번호를 조사해달라고 의뢰하였다. Podrick이 의심하는 시각은 점심 시간이 포함 된 오후 12시이다. 사고 조사 분석 결과, Podrick의 컴퓨터에 접근한 USB기기는 2개였다. 하지만, 하나는 VMware Disk Device이기 때문에 조사 과정에서 생략하였다. 기기에 대한 정보는 아래와 같다. USB 정보 Vendor Sa..