포렌식 교육 6주차 문제에 해당하는 포렌식 분야의 문제인 SuNiNatas 30번 문제 풀이입니다.

해당 문제는 메모리 덤프 파일을 분석하는 문제로 volatility라는 툴의 도움을 받아서 풀 수 있습니다.

필요한 도구

메모리 덤프 파일을 분석하는데 사용하며, 파이썬 기반으로 무료로 배포되는

volatility 

( https://www.volatilityfoundation.org/26)

해당 툴을 사용할 때는 툴이 저장된 위치에서 파일을 실행시키고 분석해야 합니다.

더불어 저는 자세한 사용법을 다음 사이트에서 참고했습니다.

(https://velog.io/@jjewqm/%EB%A9%94%EB%AA%A8%EB%A6%AC-%ED%8F%AC%EB%A0%8C%EC%8B%9D)

다음 블로그 글을 통해서 메모리 분석 방법을 공부했습니다.

(https://wave1994.tistory.com/31)

문제풀이

문제를 보면 해킹당한 PC의 메모리를 덤프한 파일을 제공하며, 김장군 PC의 IP, 해커가 열람한 기밀문서, 기밀문서의 내용 속 Key 값을 알아내라고 합니다.

우선, 해당 파일을 다운받아서 volatility로 분석해봅시다.

운영체제 정보를 알아야 다양한 플러그인들을 사용해서 분석이 가능하므로 먼저 알아봅시다.

volatility_2.6_win64_standalone.exe -f "MemoryDump(SuNiNaTaS)" imageinfo

해당 운영체제를 profile에 넣어서 김장군 PC의 IP를 알기 위해 netscan 해줍니다.

volatility_2.6_win64_standalone.exe -f "MemoryDump(SuNiNaTaS)" --profile=Win7SP1x86 netscan

김장군 PC의 IP는 192.168.197.138인 것을 알 수 있습니다.

자, 이제 해커가 열람한 파일을 찾아야 해서 filescan을 해주었는데,

엄청나게 많은 양의 파일명들이 보입니다. 그래서, 좀 더 범위를 좁혀서 특정하기 위해서 생각을 해봤는데, 기밀문서를 열람했다면 어떠한 응용프로그램을 통해서 열람했을 것이기 때문에 실행된 응용프로그램 목록을 보면 더 특정짓기 편할 것 같습니다.

그래서, userassist로 응용프로그램 기록을 확인해봤습니다.

volatility_2.6_win64_standalone.exe -f "MemoryDump(SuNiNaTaS)" --profile=Win7SP1x86 userassist

살펴보니, 윈도우 쉘이 실행되고, 이어서 cmd 실행되고, notepad가 실행되었습니다. 아마도 쉘을 따고 들어와서 notepad로 기밀문서를 열어본 것 같습니다. 

(이거, 응용프로그램 실행시킨 순서대로 보여주는 것이 맞겠지?....)

좀 더 확실하게 확인하기 위해서 cmd로 내린 명령을 확인해봤습니다.

volatility_2.6_win64_standalone.exe -f "MemoryDump(SuNiNaTaS)" --profile=Win7SP1x86 cmdscan

cmd에서 notepad를 실행시키는데, SecretDocumen7.txt 라는 파일을 열어본 것을 확인할 수 있습니다.

IP 주소와 기밀 문서 이름을 알아냈으니, 기밀 문서에 들어있는 키 값을 찾아야 합니다. 그러기 위해서는 해당 문서의 메모리에서의 위치를 찾아서 복구해주면 됩니다.

우선, filescan에서 findstr로 해당 파일을 찾아서 메모리 위치 정보를 알아냅니다.

volatility_2.6_win64_standalone.exe -f "MemoryDump(SuNiNaTaS)" --profile=Win7SP1x86 filescan | findstr "SecreetDocumen7.txt"

알아낸 메모리 위치를 바탕으로 dumpfile을 통해서 해당 파일을 복구해서 저장합니다.

-Q [해당 파일의 메모리 주소] -D [파일 저장할 장소]     ./은 현재 디렉토리에 저장한다는 의미입니다.

volatility_2.6_win64_standalone.exe -f "MemoryDump(SuNiNaTaS)" --profile=Win7SP1x86 dumpfiles -Q 0x000000003df2ddd8 -D ./

추출된 파일을 메모장으로 열어보면 다음과 같습니다.

자, 이제 모든 정보를 알았습니다.

IP 주소: 192.168.197.138  문서 이름: SecreetDocumen7.txt  키 값:  4rmy_4irforce_N4vy

(.txt 포함해야 합니다. 처음에 포함하지 않고 했다가....... 문제 잘못 푼 줄 알았어요!)

MD5 해시 사이트에서 해당 값을 해시하고, 소문자 변환 사이트에서 소문자로 변환해주었습니다.

(MD5 해쉬 사이트: https://www.convertstring.com/ko/Hash/MD5)

(소문자 변환 사이트: https://www.convertstring.com/ko/StringFunction/ToLowerCase)

이렇게 획득한 값을 써니나타스 AUTH에 넣어주면 다음과 같이 인증됩니다.

포렌식 교육 5주차 문제에 해당하는 포렌식 분야의 문제인

one_data_one_zip 문제 풀이입니다.

우선, 이 문제는 포렌식 교육에서 제공된 문제입니다.

문제 파일을 공유할 수는 없겠지만, 풀이를 재밌게 봐주셨으면 합니다.

필요한 도구

.pcap, .pcapng 네트워크 / USB 패킷 등을 분석할 때 사용하는

Wireshark

(https://www.wireshark.org/download.html)

zip password cracking 할 수 있는

Advanced Archive Password Recovery

(https://advanced-archive-password-recovery.kr.uptodown.com/windows/download)

문제 풀이

우선, zip 파일을 다운받아서 압축을 풀면, chall.pcapng 파일이 들어있다.

Wireshark로 열어서 보면 다음과 같다.

우선, 힌트로 brute-force attack이 주어졌고,

패킷을 보면 ftp 서버에 접속을 시도하는 것 같다.

USER pwning, PASS qazxsw12! 로 로그인하여

최상위 / 에 위치한 것을 알 수 있다.

더 살펴보면,

서버에 flag.zip 파일을 저장하는 것을 알 수 있다.

이외에 더 살펴봤지만, 딱히 중요해보이는 것은 없었다.

아마도 flag.zip 파일에 플래그 값이 들어있을 것 같으니, 해당 파일을 찾아야 한다.

하지만, 문제에서 제공한 zip 파일에는 flag.zip 파일이 담겨있지 않았다....

어떻게 해야 할지 모르겠어서 구글링을 하다가 방법을 찾았다!!

(https://n20kim.wordpress.com/2012/11/12/packet-ftp%EB%A1%9C-%EC%A0%84%EC%86%A1%EB%90%9C-%ED%8C%8C%EC%9D%BC-%EC%B6%94%EC%B6%9C/)

방법은 간단했다.

ftp-data로 필터링해서 우클릭 Follow TCP Stream하여 zip 파일로 저장하면 된다.

ASCII에서 RAW로 바꾸고 확장자는 zip으로 저장해주면 다음과 같이 추출된다.

그런데, 해당 zip 파일에 암호가 걸려있었다.

혹시나 해서 패킷에서 확인한 qazxsw12! 암호를 넣어봤는데,

풀리지 않는다...ㅠ

교육자분께서 힌트로 zip password cracking 하는 방법으로

advanced archive password recovery를 알려주셔서 해당 방법을 사용했다.

이렇게 비밀번호가 2048인 것을 알 수 있다.

(4자리 비밀번호는 무료 버전으로 크랙할 수 있습니다.)

해당 zip 파일을 압축 풀고 열어보면,

다음과 같이 txt 파일에 플래그 값이 담겨 있습니다.

이렇게 문제가 해결된다~~~~!!!

포렌식 교육 5주차 문제에 해당하는 포렌식 분야의 문제인

board 문제 풀이입니다.

우선, 이 문제는 포렌식 교육에서 제공된 문제입니다.

문제 파일을 공유할 수는 없겠지만, 풀이를 재밌게 봐주셨으면 합니다.

필요한 도구

.pcap, .pcapng 네트워크 / USB 패킷 등을 분석할 때 사용하는

Wireshark

(https://www.wireshark.org/download.html)

문제 풀이

우선, zip 파일을 다운받아서 압축을 풀면, txt와 pcapng 파일이 들어있다.

불법 게시물이 몇 개 올라갔고, 게시물을 올린 계정의 id/pw, 글의 내용을 찾아야 하는 문제인 것 같다.

Wireshark를 이용해서 pcapng 파일을 열어보았다.

굉장히 많은 데이터가 담겨있다.

우선, 필터링 기능을 활용해서 HTTP 프로토콜만 확인해보았다.

 처음에는 이것 저것 다 살펴봤는데, 찾다 보니까

login한 부분, user 등록한 부분, board list 부분, write, delete 등의 기록이 보인다.

좀 더 자세히 살펴보았더니 유용한 정보를 확인할 수 있었다.

(처음에는 진짜 하나 하나 다 읽어서 분석하느라, 눈 빠지는 줄 알았다....ㅠ)

mandu-mandu.shop 이라는 호스트에 접속을 했고, 회원가입을 하고 글을 작성한 것 같다.

실제로 해당 사이트가 있는지 궁금해서 방문해보니 존재했다..!

유저 등록을 했을테니, 그 과정에서 ID와 PW를 찾을 수 있을 것 같아 보인다.

두 개의 register 기록이 있는데, 둘 다 확인해보았다.

(※ Post 방식은 데이터가 body에 포함되어 전달되어서 확인해볼 수 있다.)

guest/guest가 아이디 비번이며, 닉네임은 guest1인 것을 알 수 있다.

hacker/helloworld가 아이디 비번이며, 닉네임은 seller인 것을 알 수 있다.

확실히 이쪽이 더 불법 게시물을 올린 사람 같아 보인다.

혹시나 해당 아이디/비번으로 로그인이 가능한지 궁금해서 시도해봤는데,

해당 사이트에서 차단당한 것 같아 보인다...ㅎ

이어서 올린 게시물을 찾아봤는데 세 가지 기록이 존재했다.

순서상으로

guest가 먼저 글을 작성했다.

별다른 내용은 없는 것 같다.

이어서, seller 즉, hacker가 작성한 게시물이다.

CTF flag를 판매하는 글을 올렸다..!

해당 글은 삭제되고, 다시 새로운 글이 올라왔는데

삭제되어서 다시 올렸다는 말과, 플래그 값이 담겨 있는 것을 확인할 수 있었다.

문제 해결~!!!

포렌식 교육 4주차 문제에 해당하는 Timisoara CTF 2019 Quals의 포렌식 분야 문제인

Tri-color QR 문제 풀이입니다.

우선, 이 문제는 포렌식 교육에서 제공된 문제입니다.

문제 파일을 공유할 수는 없겠지만, 풀이를 재밌게 봐주셨으면 합니다.

필요한 도구와 개념을 학습할 수 있는 사이트

개념 (푸터 시그니처 PK)

우선 해당 문제는 스테가노그래피를 다룬 문제이므로, 해당 개념을 알고 있어야 합니다.

다음 사이트에서 충분히 학습하실 수 있으니, 꼭 참조하시길 바랍니다!

(https://bpsecblog.wordpress.com/2016/08/21/amalmot_4/)

필요한 도구

파일의 원본 내용을 읽을 수 있는

HxD 

(https://know0how.tistory.com/6)

스테가노그래피 툴 중 하나인

숨겨진 텍스트를 보기 위해서 여러 개의 컬러 필터를 사용하는

Stegsolve

(http://www.caesum.com/handbook/stego.htm)

사용법은

(https://www.codetd.com/en/article/10917173)

(https://ddang-9.tistory.com/31)

문제 풀이

자 그러면, 문제 풀이를 시작하겠습니다.

zip 파일이 주어집니다.

해당 파일을 압축해제 하면,

여러 색이 섞인 QR 코드 이미지 파일이 들어있습니다.

혹시나 해서 카메라로 QR코드 스캔해보니 아무것도 뜨지 않았습니다.

일단, HxD로 원본 데이터를 읽어봅시다.

헤더 시그니처에는 아무런 문제가 없었지만,

푸터 시그니처 뒤에는 추가적인 데이터가 들어간 것을 확인할 수 있습니다.

푸터 시그니처 뒤에

zip 즉, 압축 파일 시그니처인 PK(50 4B 03 04)가 보입니다.

(푸터 시그니처 뒤에 압축파일이 숨겨져 있었군요...!)

해당 부분만 따로 추출하여 다시 압축해제를 해보면,

answer의 줄임말로 보이는 answ이름을 갖는 파일이 생성됩니다.

HxD로 열어본 결과,

*******************flag}*****************

라는 값이 들어 있습니다.

아마 플래그 형식 ~~~~{~~~flag}~~~~을 의미하는 것 같습니다.

flag} 부분만 획득했습니다.

(여기서, 이제 더 어떻게 하나.... 막막했었어요..)

일단, 숨겨진 파일로는 얻을 수 있는 걸 다 얻은 것 같습니다.

혹시나 해서 OpenStego 툴로 QR코드 파일을 추출해봤지만,

숨겨져 있는게 발견되지 않았습니다.

파일 이름이 tri-color 이기도 하면서, QR 코드에 여러 색이 섞여 있기 때문에

RGB 와 관련이 있어 보입니다.

그래서, 색을 필터링해주는 도구가 없나 싶었는데

교육자님이 추천해준 툴 중에서

여러 개의 컬러 필터를 사용하는 Stegsolve 툴이 있어서 바로 사용해봤습니다.

Stegsolve로 열어서 넘기다 보면, 여러 가지 모습의 QR 코드가 나옵니다.

엄청 많이 있어서

일단, 하나씩 카메라로 QR 코드 스캔을 해봤습니다.

그런데...!

FULL 빨간색, 초록색, 파란색에서 스캔되는 값이 있었습니다.

빨간색: ************TIMCTF{**************

초록색:  ************Th1s_is_A************

파란색: ************_4_part_**************

이를 잘 조합해보면,

TIMCTF{Th1s_is_A_4_part_flag} 임을 알 수 있습니다.

아마도 RGB에서 각각 정보를 얻고, 숨겨진 압축 파일에서도 정보를 얻어서

4 부분으로 된 플래그라는 의미의 플래그 값이 담긴 것 같습니다.

푸터 시그니처 뒤에 메시지와 더불어 압축 파일을 숨겨놓을 수 있다는 점과

이미지 파일에서 RGB에 따라서 정보를 각각 숨길 수 있다는 점을 알려준 문제였다.

포렌식 교육 4주차 문제에 해당하는 N0Named Wargame의 포렌식 분야 문제인

[C] Left Side B 문제 풀이입니다.

 N0Named Wargame 사이트는 다음과 같습니다. (그림 클릭 시 이동)

필요한 도구와 개념을 학습할 수 있는 사이트

개념 (LSB 변조)

우선 해당 문제는 스테가노그래피를 다룬 문제이므로, 해당 개념을 알고 있어야 합니다.

다음 사이트에서 충분히 학습하실 수 있으니, 꼭 참조하시길 바랍니다!

(https://bpsecblog.wordpress.com/2016/08/21/amalmot_4/)

필요한 도구

파일의 원본 내용을 읽을 수 있는

HxD 

(https://know0how.tistory.com/6)

문제 풀이

자 그러면, 문제 풀이를 시작하겠습니다.

문제의 제목이 힌트라는 것과 zip 파일이 제공됩니다.

해당 파일을 다운받고, 압축을 풀어서 열어보면 다음과 같은 파일이 제공됩니다.

플래그 형식인 NND{fake_falg} B가 담겨있습니다.

음... 일단은 bmp 확장자인 것을 알 수 있습니다.

잘 모르겠으니, HxD로 열어서 분석해봅시다.

우선, 헤더 시그니처로 42 4D가 있어서 확장자 bmp에 알맞습니다.

그런데, 0xFFFFFF로 흰색을 나타내는 부분에서 FF가 아닌 FE로 되어 있는 모습이 보입니다.

스테가노그래피에서 LSB 변조가 있는데, 최하위 비트를 바꿔서 메시지를 숨기는 방식입니다.

비트가 바뀌어 이미지가 변조되어도,

육안으로 보기에 0xFFFFFF와 0xFFFFFE의 색차이를 잘 느끼지 못합니다.

FF는 1111 1111

FE는 1111 1110

이므로, 둘의 차이점은 최하위 비트입니다.

그래서 FF는 1, FE는 0으로 볼 수 있습니다.

바꿔보면,

FE FF FE FE FF FF FF FE FE FF FE FE FF FF FF FE FE FF FE FE FE FF FE FE FE FF FF FF FF FE FF FF FE FF FF FE FF FF FE FE FE FF FF FE FF FE FE FF FE FF FF FF FE FE FF FF FE FF FF FF FE FF FE FE FE FF FF FE FE FF FE FF FE FF FF FE FF FF FF FE FE FF FE FF FF FF FF FF FE FF FF FE FF FF FE FE FE FF FF FE FF FE FE FF FE FF FF FF FE FE FF FF FE FF FF FF FE FF FE FE FE FF FF FE FE FF FE FF FE FF FF FE FF FF FF FE FE FF FE FF FF FF FF FF FE FF FE FE FF FE FE FF FE FF FE FE FE FE FF FF FE FF FE FE FE FE FE FF FE FF FE FE FF FF FF FE FE FF FE FF FF FF FF FF FE FF FF FE FF FF FE FE FE FF FF FE FF FE FE FF FE FF FF FF FE FE FF FF FE FF FF FF FE FF FE FE FE FF FF FE FE FF FE FF FE FF FF FE FF FF FF FE FE FF FF FF FF FF FE FF

는

01001110010011100100010001 11101101101100011010010111 00110111010001100101011011 10010111110110110001101001 01110011011101000110010101 10111001011111010010010100 00110100000101001110010111 11011011000110100101110011 01110100011001010110111001 111101

로 바뀝니다.

(저는 C로 프로그래밍할까 생각했지만 귀찮아서 노가다로 바꿨지만,

프로그래밍으로 바꿔주는 코드를 짜보는 것을 추천드립니다. )

2021.02.05 수정..!

C는 제약이 많아서 잘 안되는 것 같지만, 파이썬은 정말 간단하게 됩니다.

array = "FE FF FE FE FF FF FF FE FE FF FE FE FF FF FF FE FE FF FE FE FE FF FE FE FE FF FF FF FF FE FF FF FE FF FF FE FF FF FE FE FE FF FF FE FF FE FE FF FE FF FF FF FE FE FF FF FE FF FF FF FE FF FE FE FE FF FF FE FE FF FE FF FE FF FF FE FF FF FF FE FE FF FE FF FF FF FF FF FE FF FF FE FF FF FE FE FE FF FF FE FF FE FE FF FE FF FF FF FE FE FF FF FE FF FF FF FE FF FE FE FE FF FF FE FE FF FE FF FE FF FF FE FF FF FF FE FE FF FE FF FF FF FF FF FE FF FE FE FF FE FE FF FE FF FE FE FE FE FF FF FE FF FE FE FE FE FE FF FE FF FE FE FF FF FF FE FE FF FE FF FF FF FF FF FE FF FF FE FF FF FE FE FE FF FF FE FF FE FE FF FE FF FF FF FE FE FF FF FE FF FF FF FE FF FE FE FE FF FF FE FE FF FE FF FE FF FF FE FF FF FF FE FE FF FF FF FF FF FE FF"

binary = array.replace(" ", "").replace("FF", "1").replace("FE", "0")

print(binary)

이걸 변환해주는 사이트에 넣어보면 다음과 같이 플래그 값이 아스키 코드로 변환됩니다.

(www.rapidtables.com/convert/number/ascii-hex-bin-dec-converter.html)

(hex 값을 가리지 않았지만, 직접 문제를 풀어보시길 바랍니다...!)

LSB를 모르고 처음 문제를 풀게 된다면 굉장히 어려운 문제일 것 같다.

개념을 배우고 풀다보니, 더 쉽게 풀 수 있었고,

문제를 통해서 개념을 명확히 짚고갈 수 있었던 것 같다.

포렌식 교육 4주차 문제에 해당하는 N0Named Wargame의 포렌식 분야 문제인

[A] 길에서 주어온 만두 문제 풀이입니다.

 N0Named Wargame 사이트는 다음과 같습니다. (그림 클릭 시 이동)

필요한 도구와 개념을 학습할 수 있는 사이트

개념

우선 해당 문제는 스테가노그래피를 다룬 문제이므로, 해당 개념을 알고 있어야 합니다.

다음 사이트에서 충분히 학습하실 수 있으니, 꼭 참조하시길 바랍니다!

(https://bpsecblog.wordpress.com/2016/08/21/amalmot_4/)

필요한 도구

파일의 원본 내용을 읽을 수 있는

HxD 

(https://know0how.tistory.com/6)

데이터를 숨기거나, 숨겨진 데이터를 추출할 수 있는

OpenStego

(https://www.openstego.com/)

위의 툴은 자바 기반이라서 그런지 JRE를 꼭 설치해야 사용할 수 있습니다.

JRE 설치 방법

(https://webnautes.tistory.com/1133)

문제 풀이

자 그러면, 문제 풀이를 시작하겠습니다.

인형을 주웠는데, 비밀번호가 걸려있다고 합니다.

일단 문제 파일을 다운받아 봅시다.

마트료시카 인형 사진 파일입니다.

(음.. 암호가 걸려있을줄 알았는데?...)

우선, 이 파일을 분석해야 하니 HxD로 열어봅시다!

저는 항상 첫 번째로 헤더, 푸터 시그니처를 살펴봅니다.

(확장자가 잘못되었거나, 뭔가가 숨겨져 있을 수 있기 때문에..!)

살펴보니, 푸터 시그니처 뒤에 pass: 1234 라는 메시지가 담겨 있습니다.

의도적으로 암호를 알려준 것 같아요.

암호를 알았으니, OpenStego 툴을 이용해서 숨겨진 데이터를 추출해봅시다.

medium.png 파일이 나옵니다. 해당 파일도 마트료시카 인형 사진과 동일합니다.

(big -> medium 인걸 보니... 2 번 정도 더 해야 할 것 같다!)

HxD로 보았을 때  특이점은 없습니다.

마트료시카 그림을 통해서 여러 번 추출을 해야 함을 추론할 수 있습니다.

medium.png 파일을 한 번 더 추출하면

small.png 파일이 나옵니다.

small.png 파일을 한 번 더 추출하면

flag.txt 라는 파일이 추출되며, 플래그 값을 확인할 수 있습니다.

이렇게 문제가 해결됩니다.

푸터 시그니처 뒤에 메시지를 숨길 수 있다는 개념을 새롭게 알 수 있었다.

다만, 이게 스테가노그래피로 숨겨질 때의 암호이며,

추출할 필요가 있다는 사실을 어떤 근거로 추측하는지는 다소 의문이다..

포렌식 교육 3주차 문제에 해당하는 N0Named Wargame의 포렌식 분야 문제인

[B] 유출된 자료 거래 사건[4] 문제 풀이입니다.

 N0Named Wargame 사이트는 다음과 같습니다. (그림 클릭 시 이동)

해당 문제는 [B] 유출된 자료 거래 사건[3] 문제와 이어지는 문제입니다.

[B] 유출된 자료 거래 사건[3] 문제 풀이는 다음 사이트를 참고하세요

https://bgm2020.tistory.com/31

필요한 도구

우선 가장 기본적인 포렌식 툴인

FTK Imager - AccessData

(https://accessdata.com/product-download/ftk-imager-version-4-5) 

 파일 안에 암호화된 가상 디스크를 만들거나

파티션이라든지 완전한 기억 장치를 사전 부팅 인증을 사용하여 암호화할 수 있는

VeraCrypt

(https://www.veracrypt.fr/en/Downloads.html)

문제 풀이

자 그러면, 문제 풀이를 시작하겠습니다.

(이번 문제는 어려웠습니다. ㅠㅠ 저도 암호가 담긴 파일의 위치 힌트를 받아서 문제를 풀 수 있었습니다.)

구매했던 자료를 활용하기 위한 계획을 세웠다고 하면서,

해당 내용이 담긴 문서를 하드 어딘가에 암호화해두어 숨겨두었다고 합니다.

우선, 하드 암호화라는 부분에서 힌트를 얻을 수 있는데요,

저번 2번 문제를 풀면서 검색기록을 볼 수 있었는데 그 때,

veracrypt에 관한 검색 기록이 있습니다.

veracrypt를 통해서 하드 어딘가에 파일을 암호화해서 숨겨두었다는 점을 알 수 있습니다.

우선, 암호화를 풀기 위해서는 숨겨둔 파일을 찾아야 하고 복호화 키를 찾아야 합니다.

문서를 작성하긴 했으므로 로그 기록에 남아 있을 것 같아 문서 파일을 찾으려고 시도했습니다.

너무 많으니 무작정 찾는 것이 아닌, Confidential_Doc.hwp 파일을 다운 받은 시점을 기점으로

이후에 작성되었을 것이라 생각하고 그 이후에 만들어진 문서 파일들을 살펴봤습니다.

그 결과,

Confidential_Doc.hwp -> todaysmemo.hwp 로 바꾸고,

todaysmemo.hwp를 삭제하고,

새 텍스트 문서 plan.txt를 만드는 것을 발견할 수 있었습니다.

아마 이 파일이 계획이 담긴 문서인 것 같습니다만, 해당 파일은 이후에 삭제된 로그가 남아있습니다.

아마 그 전에 암호화하고 숨겨두었을 겁니다.

하드에 숨겼다는 말에서 힌트를 얻어 파티션 3이 숨겨진 파일이란 것을 유추해볼 수 있습니다.

그 이유는 파티션 1, 2는 실제로 사용되고 있으며,

파티션 3은 위의 사진과 같이 unrecognized file system으로 되어 있습니다.

가장 의심가는 파티션은 파티션 3이라고 볼 수 있습니다.

여기서 이제, 복호화 키가 담긴 값을 찾아야 하는데

범인이 해당 키 값을 남겨두지 않았을 것은 너무나 당연합니다.

그래서 우선적으로 쓰레기통을 살펴보았는데,

의심스러운 파일이 보입니다.

pw: thisispwthisispw

password를 줄인 말로 키 값으로 의심이 됩니다.

더불어, ase는 암호화 방식의 일종이므로 거의 확실하다고 볼 수 있습니다.

파티션 3에 있는 파일을 추출하고 veracrypt로 마운트해주면

다음과 같이 암호화된 파일을 열어볼 수 있습니다.

열어보면, 위와 같이 자신의 간단한 계획과 플래그 값이 들어있습니다.

유출된 자료가 아마 미공개 연락처인가 봅니다.

(리플 및 이더리움이 3월에 가격 상승하는 것도 유출된 자료인가?....)

네 이렇게 시리즈 문제를 다 풀어보았습니다.

풀면서 느꼈지만, 정말 문제를 재밌게 만들었다는 생각이 듭니다.

직접 한 문제씩 포렌식 분야 문제를 해당 사이트에서 풀어보시길 바랍니다.

포렌식 교육 3주차 문제에 해당하는 N0Named Wargame의 포렌식 분야 문제인

[B] 유출된 자료 거래 사건[3] 문제 풀이입니다.

 N0Named Wargame 사이트는 다음과 같습니다. (그림 클릭 시 이동)

해당 문제는 [B] 유출된 자료 거래 사건[2] 문제와 이어지는 문제입니다.

[B] 유출된 자료 거래 사건[2] 문제 풀이는 다음 사이트를 참고하세요

https://bgm2020.tistory.com/31

필요한 도구

우선 가장 기본적인 포렌식 툴인

FTK Imager - AccessData

(https://accessdata.com/product-download/ftk-imager-version-4-5) 

윈도우에 내장된 이벤트 뷰어

(윈도우 창에 검색하면 사용할 수 있습니다.)

필요한 개념 간단 정리 

해당 문제를 풀려면 윈도우 이벤트 로그에 대한 개념을 알고 있어야 합니다.

간단하게 설명드리면,

윈도우 OS에서 일어나는 중요한 이벤트들을 기록하는 것을 윈도우 이벤트 로그라고 합니다.

크게 네 가지 로그가 있습니다.

응용 프로그램 로그: application.evtx

보안 로그: security.evtx

시스템 로그: system.evtx

설치 로그: setup.evtx

여기서 보안 로그에는 여러가지 정보가 담기는데, 그 중에 윈도우 계정 생성 삭제에 관한 정보도 담깁니다.

더 자세한 내용을 공부하고 싶으시다면, 다음 사이트를 참고하시길 바랍니다.

https://kali-km.tistory.com/entry/Windows-Event-Log-1

문제 풀이

자 그러면, 문제 풀이를 시작하겠습니다.

2번 문제에 이어서, 구매자에게 동거자가 있었다고 합니다.

동거자는 다름 이름으로 된 윈도우 계정을 사용한 것 같습니다.

더불어, 플래그 형식을 통해서 동거자의 계정이 삭제된 것을 알 수 있습니다.

우선, FTK Imager - AccessData 로 Users 폴더를 보면 두 개의 사용자 폴더가 보입니다.

cocktail과 nonamed가 있습니다. 저번 문제를 풀면서 nonamed가 구매자라는 사실을 알 수 있습니다.

그게 아니더라도, 컴퓨터 이름이 nonamed인 것을 통해서 동거자는 cocktail이라는 사실을 알 수 있습니다.

그러면, 언제 계정이 삭제되었는지 알기 위해서 이벤트 로그 파일을 찾아봅시다.

특히, 보안 로그에 계정 삭제 기록이 담기니 보안 로그 파일만 추출합니다.

해당 경로

[root]/Windows/System32/winevt/Logs/Security.evtx

추출한 파일을 이벤트 뷰어로 열어보는데

이 때, 이벤트 로그에는 많은 양의 정보가 있으므로 cocktail을 기준으로 검색해서 찾아볼 수 있습니다.

혹은, 삭제된 계정이기 때문에 이벤트 ID가 4726인 것을 찾아볼 수도 있습니다.

찾아본 결과 다음과 같습니다.

이를 바탕으로 플래그를 작성하면 문제가 해결됩니다.

포렌식 교육 3주차 문제에 해당하는 N0Named Wargame의 포렌식 분야 문제인

[B] 유출된 자료 거래 사건[2] 문제 풀이입니다.

 N0Named Wargame 사이트는 다음과 같습니다. (그림 클릭 시 이동)

필요한 도구와 지식

해당 문제를 풀기 위해서는 세 가지 툴의 도움이 필요합니다.

우선 가장 기본적인 포렌식 툴인

FTK Imager - AccessData

(https://accessdata.com/product-download/ftk-imager-version-4-5) 

(이번 문제에서 vmdk 파일을 열기 위해서 꼭 필요합니다)

크롬 방문기록, 다운로드 기록 등이 담긴 DB를 읽는

DBbrowser for SQLite

(https://sqlitebrowser.org/dl/)

로그 기록을 분석할 수 있는

NTFS Log Tracker -blueangel

(https://sites.google.com/site/forensicnote/ntfs-log-tracker)

문제 풀이

자 그러면, 문제 풀이를 시작하겠습니다.

우선, 문제 상황을 보면 자료 유출이 일어났고 불법적으로 구매한 사람이

해당 파일을 컴퓨터에서 USB로 옮긴 것으로 의심하는 상황인 것 같습니다.

어떤 파일인지 모르고 USB로 옮겨졌을만한 것을 찾아야 하며,

힌트로 파일을 입수한 경로를 찾아보면 찾기 편할 것이라는 말이 있습니다.

플래그 형식도 힌트가 되는데, 해당 파일의 이름이 변경되었다는 사실을 알 수 있습니다.

우선은 이미지 파일(vmdk)을 FTK Imager - AccessData 로 열어봅시다.

기본적으로 포렌식의 첫 번째는 로그 기록을 분석하는 것입니다.

로그 기록을 통해서 사용자가 어떠한 행위를 했는지에 대해 가장 많은 정보를 알아낼 수 있기 때문입니다.

하지만, 로그 기록이 워낙 방대하기 때문에 범위를 줄일만한 단서를 찾아야 합니다.

문제에서 힌트로 파일을 입수한 경로를 확인하면 좋을 것 같다고 했는데,

입수 경로를 알게 되면, 파일명도 알 수 있으며 로그에서도 쉽게 파일명으로 찾을 수 있기 때문에

입수한 경로가 중요합니다.

보통은 인터넷에서 파일을 입수할 것이기 때문에 인터넷 기록을 살펴봅시다.

[root]/Users/username/AppData/Local/Google/Chrome/User Data/Default/History

(해당 경로에서 인터넷 기록이 담긴 파일을 찾을 수 있습니다.)

해당 파일을 추출해서 DBbrowser for SQLite 로 분석해봅시다.

의심스러운 검색 기록이 있습니다.

모네로라는 가상 화폐로 거래를 할 생각이었던 것 같습니다.

그리고 Confidential_Doc.hwp 파일을 다운로드 받았는데 아마도 이 파일이 거래한 자료인 것 같습니다.

그러면, 로그 파일들을 추출해서 언제 저 파일이 다운받아지고 변경되었는지 알아봅시다.

/[root]/$LogFile

/[root]/$MFT

/[root]/$Extend/$UsnJrnl:$J

경로에서 세 파일을 추출하여, NTFS Log Tracker -blueangel로 파싱해줍니다.

그러면,  DBbrowser for SQLite 로 열어볼 수 있는 파일이 만들어집니다.

열어봐서 Confidential_Doc.hwp 파일을 검색어로 로그 기록을 찾아보면,

몇 시에 어떤 이름으로 파일명이 바뀌었는지 알 수 있습니다.

이를 기반으로 플래그 형식에 맞춰서 입력하면 문제가 해결됩니다.

포렌식 교육 3주차 문제에 해당하는 N0Named Wargame의 포렌식 분야 문제인

[C] 우리의 추억들 문제 풀이입니다.

 N0Named Wargame 사이트는 다음과 같습니다. (그림 클릭 시 이동)

필요한 도구와 지식

해당 문제를 풀기 위해서는 두 가지 툴의 도움이 필요합니다.

포렌식 작업에서 발생할 수 있는 사고를 방지하기 위해 미디어 이미지를 복제하는 

FTK Imager - AccessData

(https://accessdata.com/product-download/ftk-imager-version-4-5)

썸네일 캐시 DB를 읽을 수 있는

Thumbnail Database Viewer 

(http://www.itsamples.com/thumbnail-database-viewer.html)

해당 문제를 풀기 이전에 다음 글을 참조하시면 도움이 됩니다.

특히 썸네일 캐시 부분을 보시면 도움이 됩니다.

(https://bgm2020.tistory.com/24?category=958683)

간단하게 필요한 개념은 썸네일 캐시로,

사진을 다운 받으면 미리보기로 볼 수 있는 작은 축소판이 만들어지는데 이것을 썸네일 캐시라고 합니다.

해당 정보는 데이터베이스에 기록되고, 원본 사진을 삭제해도 썸네일은 남아있습니다.

따라서 포렌식에서 썸네일을 증거로 사용하는 경우가 많습니다.

문제 풀이

자 그러면, 문제 풀이를 시작하겠습니다.

실수로 사진을 지운 것 같다며, 복구해달라는 문구가 적혀있습니다.

아마도 지워진 사진 중에 플래그 값이 존재할 것이라고 생각할 수 있습니다.

다운로드로 열어본 파일에는 ad1 파일이 들어있습니다.

따라서 FTK Imager - AccessData로 해당 파일을 열어봅시다.

파티션 이름과 함께 c드라이브에 있는 파일들을 열어볼 수 있습니다.

복구를 해야하니까 가장 먼저 눈에 들어오는 Recycle.Bin에 들어가보면,

여러 사진들이 있는데, NICE TRY라는 사진이 있습니다.

아무래도 다른 방법을 찾아야 할 것 같다는 생각과 더불어 사진을 둘러보니,

유튜브 썸네일이라는 사진 파일을 볼 수 있습니다.

그냥 지나쳐갈 수 있지만

이번 주 공부 내용에 썸네일은 원본을 삭제해도 남아서 증거로 사용된다는 부분이 있어서

썸네일을 찾아보면 되겠구나 생각했습니다.

썸네일 주소는 구글링을 통해 알아보면 다음과 같습니다.

[/Users/AppData/Local/Microsoft/Windows/Explorer]

해당 파일들을 추출해서 썸네일 db를 열어볼 수 있는

Thumbnail Database Viewer 

를 통해서 하나씩 열어보니 thumbcache_96.db에서

다음과 같은 플래그를 얻을 수 있었습니다.

이렇게 문제는 해결됩니다.