비전공자의 포렌식일기

이 글은 "후니의 CISCO 네트워킹" 을 참고하여 작성하였습니다. 지난 시간에 배운 것들을 복습하겠습니다. 네트워킹 : 서로 연결된 장비들끼리 대화(정보)를 주고 받을 수 있게 묶어주는 것 인터넷 : 서로 다른 네트워크를 연결 시킨 것, TCP/IP 프로토콜을 사용 인트라넷 : 회사(기업) 내부에서 사용하는 인터넷 망 엑스트라넷 : 회사(기업) 내부 및 회사랑 계약되어 있는 거래처(고객)들 까지 이용가능 한 인터넷 망 간단하게 지난 시간에 작성한 것들을 복습했고, 오늘은 더욱 많은 것들을 포스팅 해보겠습니다. LAN이란? 우리가 네트워크를 배우지 않았더라도 가장 많이 접해본 것이 바로 LAN이라는 단어일 것 입니다. 랜? 란? 렌? 이라고 읽을 수 있으며 Local Area Network의 약자입니다...

안녕하세요. 네트워크 포렌식을 하기 전, 네트워크에 대해서 기본적으로 공부를 하기 위해서 작성하게 되었습니다. 기초부터 차근차근 네트워크에 대해서 전반적으로 다룰 것이며, 이 글은 "후니의 CISCO 네트워킹" 을 참고하여 작성하였습니다. 네트워크는 비록 30년 전 까지만 해도 그렇게 중요한 분야가 아니였습니다. 왜냐면 과거에는 컴퓨터를 잘 아는것 만으로도 인정을 받을 수 있었기 때문입니다. 이런 얘기들을 접해본 적이 있을겁니다. "NASA를 해킹하면 NASA에서 취업 할 수 있다던데?!!" 이 말은 30년전 컴퓨터가 생소했을 시절에 있었던 얘기입니다. 지금은 기업뿐만 아니라 개인의 컴퓨터도 해킹하면 커리어가 사라지는 시대이기 때문에..나쁜짓은 하시면 안됩니다. 다시 돌아가서, 과거에는 중요하지 않았던 ..

안녕하세요. 저번 시간에는 Cridex Malware분석을 진행하였습니다. 이번에는 조금 난이도가 있는 OlympicDestroyer Malware를 분석을 해보겠습니다. OlympicDestroyer Malware란? 2018년 2월 9일 평창 올림픽 개회식 당시 현장의 유무선 네트워크 시스템에 장애가 발생하며, 잇따라 무선랜(Wi-Fi)서비스, 메인프레스센터(MPC)의 IPTV 영상 전송과 입장권 판매 및 출력을 위한 공식 홈페이지 운영이 중단 되었습니다. 이는 올림픽을 방해하기 위한 해커의 사이버 공격으로, 최초 감염 경로는 스피어피싱 이메일을 통한 감염으로 밝혀졌으며, 공격 수단은 파괴형 악성코드로 시스템을 망가뜨려 IT 기반 서비스 가동이나 운영을 방해하려는 의도로 예상됩니다. 그래서 이 악성코..

문제를 한번 보겠습니다. 주어진 압축파일을 풀면 다음과 같은 사진이 보입니다. 사진에서 이제 글을 숨겨 놓은줄 알고, 확대를 시켜 봤으나 아무것도 보이지 않았습니다. 고민을 하다가, 혹시나 가로 세로를 변형 시켰나? 싶어서 세로의 길이를 조금 키워줬습니다. 하니까 플래그 값을 찾을 수 있었습니다.

문제를 보겠습니다. 사진을 다운받아 실행시키면 다음과 같은 사진이 나옵니다. 역시 hxd에디터로 바이너리 파일을 봤습니다. key format이 TEXT인것을 기억합시다. 먼저, jpg의 시그니처를 봐야해서 FF D9로 푸터 시그니처를 확인했는데, 바로 답을 찾을 수 있었습니다.

문제를 보겠습니다. 주어진 파일 img.jpg를 다운받아서 실행시키면 이런 사진이 하나 보입니다. 사진에서는 아무것도 찾아볼 수 없기 때문에, hxd에디터로 사진의 바이너리 데이터를 보니까, 문제에서 flag{(key)}가 아니라는것을 보고, 바로 찾을 수 있었습니다.

문제를 보겠습니다. 주어진 color.png 파일을 실행하게 되면 다음과 같이 나옵니다. 붉은색 픽셀과 검은색 픽셀로 구성된 그림을 볼 수 있는데, 사진은 가로 7픽셀, 세로 200픽셀입니다. 사진이 2가지 색으로 이루어진 특성을 생각해보면 두 색을 바이너리 코드로 변환하면 되는 것을 생각해볼 수 있습니다. 그래서 빨간색을 1, 검은색을 0으로 변환하는 코드를 짜보겠습니다. 코드를 돌리면 다음과 같은 문자열이 나옵니다. 3xXKkFstTUpsG2IFDirE6xDrcAF8DSx4iWxd5f9IQ9T205izN8lS2MQUlsF11gT4TFXHHlLHVHprNTtrh6lURfdUW7Lpuzgu1VKzwb1bg1oq6Ae3GnykkLZZsnze3HVLxHlfCYtzyrcV2Oxp0Gb0Z2ELphR4Oxo7T..

문제를 보겠습니다. 문제를 열어보니, 요상한 사진이 나옵니다. 사진을 따로 저장하여, hxd에디터로 열어봤습니다. 확장자가 jpg였는데, jpg 시그니처가 아니라 .wav파일 시그니처로 되어 있는것을 보아 확장자가 임의적으로 변경 되어있다고 생각하고 .wav 확장자를 바꿔서 열어봤습니다. 그럼 음악파일을 들을 수 있는데 왠 로봇 소리가 자꾸나서 wav파일을 열 수 있는 audacity 프로그램을 사용하겠습니다. 열어서 실행을 하게되면 동일한 로봇 소리를 들을 수 있는데, 프로젝트 속도가 8000이 1초동안 재생이 되었으면, 더 길게 들어보면 어떨까 싶어서 4분의1인 2000으로 바꾸고, 실행을 시켰더니 아브라카타브라 라는 소리가 들렸습니다. FLAG : abracadabra

문제를 보겠습니다. 주어진 butterfly.png파일을 열어보면 나비 사진이 하나 나옵니다. 사진을 hxd로 보니 아무런 값이 없어서 문제를 다시 읽어 봤습니다. 읽어보니 Find Key butterfly라고 되어 있어, 나비에서 키 값을 찾을 수 있겠다 싶어가지고 사진을 확대시켜주는 사이트에서 찾아봤습니다. https://29a.ch/photo-forensics/#forensic-magnifier 이 사이트에서 butterfly.png를 오픈하고, 마우스 커서를 사진에 올리면 확대가 됩니다. 요 부분에 커서를 가져다 놓으면 플래그 값을 찾을 수 있습니다. 다음 문제를 보겠습니다. 달 사진이 하나 나오는데, 마찬 가지로 hxd에디터로 열어 보겠습니다. 열어서 푸터 시그니처인 49 45 4E 44 AE ..

문제를 보겠습니다. 제목에 오탈자 정정 pid오타 root.......있는것을 보니까 메모리 포렌식을 이용하여 푸는 문제인 것 같습니다. 위 문제에서 memdump 플러그인을 쓴것을 보아 PID가 4092인 프로세스를 덤프뜨는것으로 보입니다. 똑같이 명령어를 입력하면 mspaint.exe라는 그림판 프로세스가 4092.dmp로 추출되는것을 볼 수 있습니다. 이미지 파일을 보기 위해서는 gimp라는 프로그램을 사용하겠습니다. 단, gimp를 프로그램을 사용하기 위해서는 확장자를 data로 바꿔주어야 합니다. 설치 및 실행 명령어는 다음과 같습니다. sudo apt-get -y install gimp gimp 4092.data 오프셋, 높이, 너비를 조절해주면 찾을 수 있었습니다.