[패킷 분석] SANS Puzzle 분석

이번 시간에 분석해볼 패킷은 SANS Puzzle.pacp 파일입니다.

 

문제는 시나리오 기반으로 되어 있으며, 생각보다 쉽게 풀려서 글을 빠르게 쓰도록 하겠습니다.

[ 시나리오 ]

Ann’s과 친구는 메신저로 중요한 음식의 비밀 레시피를 주고 받았다. 우리가 획득한 패킷을 분석하여 해당 레시피가 무엇인지 획득하고 다음과 같은 물음에 답변하여라.

 

[ 문제 ]

1. Ann's의 친구의 메신저 이름은 무엇인가?

 

2. 캡쳐된 메신저 대화 중 첫번째 대화는 무엇인가?

 

3. Ann's가 보낸 파일의 이름은 무엇인가?

 

4. 당신이 추출하고자 하는 파일의 시그니처는 무엇인가?

 

5. 파일의 MD5 해쉬 값은 무엇인가?

 

6. 파일 안에는 어떤 내용이 들어있는가?

바로 문제를 풀어보도록 하겠습니다.

먼저, 와이어샤크로 패킷을 열어보면 TCP, ARP, NTP 등등 패킷들이 잡혀있는 것을 볼 수 있습니다.

 

1번 문제에서 "메신저" 라는 키워드가 나와있는데 메신저 어플을 사용했다면 암호화된 대화내용이 패킷에 잡힌다.

패킷을 살펴보면 23번 패킷에 SSL과 TCP 프로토콜이 서로 주고 받는 패킷을 볼 수 있는데, TCP Stream으로 열어보면 반은 평문, 반은 암호화된 대화 내용을 볼 수 있다. 하지만 과거에는 SSL이 버전이 낮아 암호화가 되다가 말았지만 현재는 완벽히 암호화가 되는 것으로 알고있다.

보시면, 평문으로 된 데이터들도 보이고 E4628778처럼 암호화 된 데이터들도 보입니다. 그래서 메신저라면 처음에 From하고 친구의 아이디가 나오기 때문에 1번에 답을 바로 구할 수 있다.

 

답 : Sec558user1

 

2번 문제도 마찬가지로 Here's the 하고 바로 나오기 때문에 답을 불러낼 수 있다.

 

답 : Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go

 

3번 문제는 중간쯤 보시면 recipe.docx라고 적혀있습니다.

ann's가 보낸 파일 이름입니다.

 

답 : recipe.docx

 

4번 문제는 파일의 시그니처인데, docx 파일은 PKZIP 형식으로 시그니처가 되어 있기 때문에 50 4B 03 04입니다.

 

답 : 50 4B 03 04

 

5번을 풀기 위해서는 파일 카빙을 진행 해야 합니다.

TCP Stream 5번을 RAW 데이터로 보면, 504b0304로 된 데이터들이 보입니다.

여기서 부터 카빙을 진행하시면 되는데, 우리가 받은 데이터이기 때문에 파란색으로 칠해진 데이터까지 카빙을 해야 합니다.

카빙을 다 하셨으면 hxd 에디터로 붙혀넣기를 한다음 docx로 저장을 하고 md5를 보시면 됩니다.

해시값이 저랑 다르다면, 파일 카빙을 잘 못 한겁니다.

 

마지막으로 파일 안의 내용을 보면 되는것이기에 docx 파일을 실행시키겠습니다.

어떤 것을 만드는 지는 모르겠으나...왠지 달달한 것을 만드는 것 같네요 ㅎㅎ 이렇게 SANS Puzzle.pcap을 분석 해봤습니다.