비전공자의 포렌식일기

문제를 보겠습니다. Victoria가 지시한 허위적인 웹 사이트를 찾는 문제입니다. 웹 사이트에 대한 정보를 간략하게 보면, 그녀의 계좌 잔고를 확인하기 위해 계좌에 대한 접근 권한을 계속 유지하기로 결정한니까 결국엔, 계좌 관련 (은행) URL 이기 때문입니다. 주어진 패킷을 보겠습니다. [File] - [Export Objects] - [HTTP] 을 들어가면 URL에 대한 정보들을 확인 할 수 있습니다. 정보들을 확인해볼때 은행 관련된 URL들을 확인할 수 있었습니다. bankofamerica? 라는 키워드를 가지고 구글에 검색을 해보겠습니다. 은행 관련 사이트가 검색이 되네요..! 그러면 .com으로 되어 있는데 위에서 본 패킷은 .net으로 되어 있습니다.\ 그래서 networkminer로 pa..

CTF-D에 NetWork카테고리에 있는 "파일에서 플래그를 찾아라"를 풀어보도록 하겠습니다. 문제를 한번 보겠습니다. 확장자가 없는 myheart....이 주어졌고 txt파일이 주어졌는데, txt파일을 열어보니 풀이 답안지여서 저 방식과는 다르게 제 방식대로 풀어 보겠습니다. 이런 파일이 하나 주어지는데 리눅스로 가져가 파일 유형을 보겠습니다. $ file [파일명] xz파일로 되어있으니 unxz 명령어를 통해서 압축을 풀어 줍시다. $ unxz [파일명] 압축을 풀었으면, 다시 파일의 유형을 살펴봅시다. pcapng파일이네용!! 저도 pcapng에 대해서는 잘 알지 못하기 때문에 간단하게만 구글링을 한 대로 설명 하겠습니다. pcapng파일이란? PCAP Next Generation의 약자로 기존 p..

CTF-D에 있는 "나는 힉스 입자가 발견되지 않을 것이라고" 문제를 풀어 보겠습니다. 문제를 보겠습니다. 파일이 하나 주어졌네요. 다운을 받으면 다음과 같은 확장자가 없는 파일이 나옵니다. hex에디터로 열어 보겠습니다. 열어보니 다음과 같이 빨간 사각형을 보면, 7zXZ라고 적혀있습니다. 그래서 왠지 7zip으로 압축을 풀 수 있을거 같아, 바로 풀어보았습니다. 또 다시 파일 확장자가 없는 파일이 생성 되었는데요. hex에디터로 열어봅시다. pcap파일인것을 알 수 있습니다. 근데 pcap으로 확장자를 변경하면 실행이 되질 않습니다. (7zip이 아닌가봐요 ㅎㅎ) 그래서 파일을 리눅스로 들고가겠습니다. 리눅스로 들고와서 file명령어를 통해서 파일의 유형을 살펴보겠습니다. $ file [파일명] 명령..

CTF-D 사이트에 있는 네트워크 카테고리에 우리는 적군에 대한 첩보를 풀어보겠습니다. 문제를 한번 보겠습니다.주어진 첨부파일인 exfil.tar를 다운 받아 압축을 풀어줍니다. ( 리눅스 환경에서 tar파일을 풀려면 tar xvf exfil.tar를 입력하시면 됩니다. ) 압축을 풀면 dump.pcap파일과 server.py가 들어 있는것을 볼 수 있습니다. 먼저 와이어샤크를 통해 dump.pcap파일을 보겠습니다.dump.pcap을 실행하면 다음과 같은 DNS 패킷을 볼 수 있고, 패킷을 좀 더 읽어보면 DNS패킷과 데이터 값처럼 보이는 것들을 확인할 수 있었습니다.노란색 형광펜으로 되어 있는것을 보겠습니다. 첫번째 패킷은 클라이언트가 DNS를 요청하는 패킷으로 (DNS Query Packet) 두번..

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 문제를 보게 되면 악성 페이로드의 용량을 물어봅니다. 그럼 주어진 파일 round6.pcap을 와이어 샤크로 열어 보겠습니다. 와이어샤크로 TCP Stream을 열어서 분석을 하다가 뭔가 의심스러운 부분이 존재합니다. 그 부분은 Host : paimia.com에게서 http파일을 하나 받았다는 내용이니까 http를 분석해봅시다. 경로는 [File] - [Export Object] - [HTTP] 열어보니 paimia.com에서 파일을 두개 받았는데 밑에꺼는 favicon.ico라서 아이콘을 뜻하는것이라 패스하고 위에꺼는 html로 작성된 파일을 하나 받았습니다. 혹시나 더 있을까 하고 NetworkMiner를 ..

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 문제를 보니 Gregory에게 무슨 일이 일어났는지 찾는것인데요, 주어진 파일은 pcap파일이 아닌 zip파일입니다. 파일을 다운 받아서 압축을 풀어봅시다. 압축파일 안에는 Dump폴더와 log텍스트 파일이 존재하는데요, 로그 텍스트 파일을 먼저 실행해보겠습니다. 딱히 수상한 부분은 보이지 않지만 한가지 의심이 가는것은 형광색으로 칠한 부분인데요. 이 부분은 dump_android.cpp compiled라는건 운영체제가 안드로이드인 휴대폰을 덤프를 떴다는 뜻입니다. 덤프란? 특정 시점에 작업 중이던 메모리 상태를 기록한 것입니다. 그래서 로그 파일과 덤프 폴더가 존재했던것입니다. 그럼 덤프 파일을 조사해봐야 하..

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 이번 문제를 보면 Betty동료가 Gregory에게 제공한 비밀번호를 찾는것입니다. 비밀번호를 줬다는것은 메세지를 받았다는 추측할 수 있습니다. 그럼 Network Miner를 통해서 pcap파일을 보겠습니다. 열어보니 아니나 다를까 Hey Greg으로 시작하는 메세지가 와있습니다. 그래서 더 스크롤을 내려보니 스크립트 코드가 있는걸 확인할 수 있는데 코드를 보면 kml파일로 짜여진 스크립트 코드인걸 알 수 있습니다. kml파일을 구글에 검색해보니 Keyhole Markup Language의 약자로써 구글 어스, 구글 지도 등 브라우저에서 지리 데이터를 표시하는 데 사용되는 파일 형식이라고 적혀있습니다. 그럼 ..

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 문제를 읽어보면 Gregory는 Betty를 만나지 못할 경우 어떻게 죽는지를 찾는 문제입니다. 주어진 문제 파일인 round3.pcap파일을 다운 받아서 실행을 시켜봅시다. pcap파일을 실행 시켜서 내리다 보니 프로토콜중에 mp4라고 되어 있는 수상한 패킷이 하나 보입니다. TCP Stream으로 실행을 시켜 보겠습니다. 경로 [Analyze] - [Follow] - [TCP Stream] 해당 프로토콜의 TCP Stream를 보면 mms-message를 받았고, 받은 파일은 VID_20130705_145557.mp4입니다. 즉 mms는 Multimedia Messaging Service의 약자로써 멀티미디..

이번 시간에도 지난 시간과 이어서 Network 카테고리에 있는 문제를 풀어보도록 하겠습니다. 문제를 읽어보면 Betty와 Gregory가 만나는 장소를 찾으면됩니다. 주어진 문제 파일인 round2.pcap파일을 다운 받아서 실행을 시킨 다음에 문제에 나와있는대로 Betty와 Gregory가 서로 대화를 주고 받았을거 같으니 IRC프로토콜을 먼저 확인을 해보겠습니다. 경로 : [irc검색] - [오른쪽 마우스 클릭] - [Follow] - [TCP Strem] * IRC 프로토콜 Internet Relay Chat의 약자로 실시간 채팅 프로토콜입니다. 여러 사용자가 모여 대화를 나눌 수 있고, 또한 개인간의 대화 기능도 지원합니다. 또한 IRC 클라이언트와 직접 연결을 설정하는데 사용되는 하위 프로토콜..

이번 시간에는 CTF-d 워게임 사이트에서 네트워크 카테고리에 문제를 풀어보도록 하겠습니다. 문제를 읽어 보겠습니다. 문제를 읽어 봤을때 풀어야 하는 문제는 회의가 예정된 요일이 언제인지를 찾아야 하는데, 언제 진행 되었는지 알 수 있는 데이터가 어떤 형식으로 작성되어 있는지 알 수가 없기 때문에 WhireShark분석 도구를 통해서 패킷 용량, 프로토콜 등을 확인하면서 찾아야 합니다. 주어진 문제파일인 round1.pcap파일은 pcap(Packet Capture)의 약자로 패킷을 캡처한 파일이라고 생각하시면 됩니다. 그럼 바로 문제풀이를 해보겠습니다. 주어진 문제파일입니다. 이제 WhireShark로 열어 보겠습니다. 문제를 열었더니 패킷들이 많이 잡혀있습니다. 그중에서 실행을 했을 때, 가장 먼저 ..