문제에서 주어진 파일은 .pcap 파일 하나이다.
일단 WireShark를 이용하여 이들이 만날 도시가 어디인지를 어떤 식으로 분석할 수 있을지 확인해보자.
이 문제에서 주인공은 Betty와 Gregory인데, 이들 간의 통신이 어떠한 방식으로 이루어졌는지는 곧바로 알 수 없는 상태이며, 육안으로 봤을 때는 TCP protocol이 많이 사용되고 있는 것을 알 수 있다.
이러한 상황에서 두 주인공 간의 통신 내용을 확인해야 그 안에서 만나기로 한 장소가 어딘지를 찾을 수 있을 것이다.
무작정 위 리스트를 찾기보다 패킷의 트래픽을 살펴보기 위해 [Statistics] - [Conversations] 메뉴를 이용하겠다.
여기서 TCP가 주로 사용되고 있으므로 이에 대한 분석이 도움이 될 것 같다.
전송된 바이트수를 기준으로 정렬했을 때 192.29.1.50의 1024 포트로 매우 많은 바이트의 통신이 이루어졌음을 알 수 있다.
이 부분을 Follow Stream 해보자.
이것을 보고 어떠한 정보를 알아낼 수 있겠는가(이러한 행위를 카빙이라고 한다더라)... 포렌식 초보는 그런것 할 줄 모른다^^..
패킷을 분석할 때 많이 사용하는 또 다른 도구로 NetworkMiner라는 것이 있다고 하여 이를 사용하여 다시 한 번 확인해보았다.
그리고 감사하게도 두 주인공의 대화내용까지 곧바로 확인할 수 있도록 다 분석해주었다ㅠㅜ
- NetworkMiner : 패킷에 존재하는 데이터들을 카빙, 정렬해주는 프로그램. 암호화된 패킷을 복구해준다.
(Free edition과 Professional edition이 존재한다. 여기서 사용한 것은 free edition이다.)
대화 내용을 확인해보면 Betty가 이전 약속에서 노쇼를 했나보다. 그래서 새롭게 약속 장소를 알려주는데 이에 대한 힌트로 password와 DCC protocol의 SEND를 이용하여 어떤 파일을 보낸다.
- DCC(Direct Client-to-Client) : IRC protocol의 서브 프로토콜.
채팅에 사용되던 IRC protocol과 비슷하지만 조금 다르게, 파일 교환이나 비채팅 방식의 대화에서 주로 사용된다고 한다.
특히 여기서 사용된 DCC SEND의 경우 전송 형식은 다음과 같다.
DCC SEND <filename> <ip> <port> <file size>이를 참고하면 Betty는 1024 포트로 819200 사이즈의 파일을 보낸 것이다.
1024 포트가 왠지 익숙한데, 이는 아까 Conversation 분석에서 가장 많은 바이트를 전송했던 포트 넘버였다.
그 포트로 전송된 내용 중에 819200 사이즈의 파일을 추출해보자.
다시 WireShark로 돌아와, 1024 포트에서 Follow Stream 하여 얻은 내용을 파일로 추출하기 위해 Raw 형식으로 바꾼 뒤에 819200 사이즈만큼을 선택하여 저장한다.
저장한 파일을 열어보면 파일의 Signature를 확인할 수 없어 어떤 형식의 파일인지 도통 알 수가 없다.
Betty가 password를 함께 보내줬던 것을 떠올려보면 이 password를 이용해야 파일 내용을 제대로 확인할 수 있을 것 같다.
비밀번호를 사용하는 방식의 암호화가 되어 있는 것 같은데..
초보는 도무지 알 길이 없어 도움의 손길을 받은 끝에..
이렇게 헤더 Signature가 없고 비밀번호와 연관되어 있다는 특징을 가진 경우는 TrueCrypt로 암호화된 파일일 가능성이 있다고 한다.
- TrueCrypt : 메모리에 보안영역을 생성하여 이곳에 자료를 저장하는 것으로 자료유출로 인한 피해를 막을 수 있게 하는 프로그램.
암호화된 파일을 비밀번호와 함께 mount 해서 로컬 디스크 드라이브에 접근하는 것 마냥 사용할 수 있게 해준다.
이미 이 파일은 암호화가 되어 있고 이를 주어진 password를 이용하여 mount 시키면 로컬 디스크 드라이브인 것 마냥 이 파일을 읽을 수 있게 된다. 당장 사용해보았다.
mount할 드라이브를 (아무거나) 선택한 뒤 Betty가 줬던 패스워드와 함께 mount시킨다.
AES 알고리즘으로 암호화가 되어있던 파일이었나보다.
이를 더블클릭하면 원본 파일을 확인할 수 있다.
약속 장소는 LAS VEGAS 였다. ㅎㅎ
'Wargame' 카테고리의 다른 글
| [Suninatas] Forensics no.14 - password cracking (0) | 2021.09.18 |
|---|---|
| [xcz.kr] Prob17 Password Recover (0) | 2021.09.08 |
| [xcz.kr] Prob13 Network Recovery! (0) | 2021.09.08 |
| [DigitalForensic with CTF] Network - DefCoN#21 #3 (0) | 2021.08.29 |
| [dreamhack] basic_exploitation_000 (0) | 2021.07.05 |