본문 바로가기

카테고리 없음

[후기] Forensic Challenge 2010-6(PDF분석) 후기


지난 2010년 말쯤 지인의 트윗을 통해서 알게된 작은 포렌직 챌린지를 접하게 되었어요....
마침, 국내 모 컨퍼런스에서 주최하는 분석 해킹대회에 나름 국내 최초 PDF 문제출제라고 주장하면서 출제자로 참여하면서.... 나도 한번 챌린지에 도전해볼까 하는 흥미로 시작하게 되었지요.. ^^;;

처음엔 흥미로 시작했는데.... 
별도의 리포트 포맷을 작성해야하고.... 언어가 딸리는 나에게 영문 작성이라 난관이 또 있었죠.. 하하하...
생각보다 D-Day가 짧아서 중간에 그냥 또 드랍해버리지 않을까 했는데... 
다행히도 D-day 에 맞춰서 가벼운 맘으로 대충 써서 리포트까지 제출하게 되었습니다... 
물론, 기본 문제만 풀고 보너스 문제 중 소스코드 같은 거는 Skip~~ 주의였지만......
 
그렇게, 시간이 흘러 드디어 12월 말 결과에 대한 메일이 띡~ 왔더군요... 

Challenge 6 of the Forensic Challenge 2010 - Analyzing Malicious Portable Destructive Files - https://www.honeynet.org/challenges/2010_6_malicious_pdf

You have received a total of 20 of 22 points. With your score of 20, you came into position 5.

Below you will find your score per answer:
   Answer 1: 1/1 points
   Answer 2: 1/2 points - 난독화 코드 미포함하고 푼 코드만 제출
   Answer 3: 3/3 points
   Answer 4: 1/1 points
   Answer 5: 1/1 points
   Answer 6: 1/1 points
   Answer 7: 3/3 points
   Answer 8: 4/4 points
   Answer 9: 2/2 points
   Answer 10: 2/2 points

   Answer Bonus 1: 1/1 points
   Answer Bonus 2: 0/1 points  - 소스코드 미제출

 
챌린지는 다음과 같은 유형과 답을 요구하는 문제였습니다. 

* 문제파일 : 패킷파일 (.pcap 파일) - 난이도 중간
  - 악성 사이트에 접근했을 때... 난독화된 악성 스크립트를 통해 악의적인 PDF 파일이 다운로드되어 실행되면서... 
    PDF 취약점을 통해서 악성코드가 실행되는 구조를 갖는 최근 널리 활용되는 위협을 재현한 형태입니다. 
  
* 요구하는 답변들 : 
 - pcap 파일에서 PDF 파일을 추출하기
 - 난독화된 악성 스크립트 풀기
 - PDF 파일의 구조를 파악하고 각 오브젝트와 전체 실행 흐름에 대해서 기술하기
 - 보너스 문제에서는 PDF 논리적 구조를 그래프(.dot) 로 도식화하기
 - 최근 사용되는 PDF 탐지우회방법 파악하기
 - 다양항 PDF 취약점 파악하고, fake 실행 취약점 말고 진짜 실행 취약점을 찾기
 - PDF 취약점 속에 내포된 자바스크립트 분석하기
 - 쉘코드 분석하기

 
 




<문제풀이 일부> PDF 파일의 논리적 구조를 도식화하기....



제출할 때는 재미삼아 하는 거라 정성을 다하지 않았는데......
막상 웹에 게시되는 3위 안에 들지 못하니깐 좀 아쉽기는 하네요.. 쩝쩝쩝....^^;;;
하지만, TOP 3의 리포트를 확인해보면 왜 이들이 TOP 3일 수밖에 없는 지 아실꺼예요..ㅋㅋㅋ
진짜 정성이 그득~~~그득~~~~ 담긴 리포트라.......

기회가 된다면 이번 문제풀이와 국내 컨퍼런스 해킹대회 문제 제작에 관한 후기를 적어보려고 합니다.....
그게 언제가 될까요????  --;;;;


--------------------------
가끔은 지식을 머릿 속에만 두지말고..
살~~짝 꺼내서
이렇게 써 먹어보는 것도 흥미롭군요.. ^^;;;

좋은 주말되세요
--------------------------