[개고전] Ann's Bad AIM

네번째 글

 

 

Anarchy-R-Us, Inc. suspects that one of their employees, Ann Dercover, is really a secret agent working for their competitor. Ann has access to the company’s prize asset, the secret recipe. Security staff are worried that Ann may try to leak the company’s secret recipe.

Security staff have been monitoring Ann’s activity for some time, but haven’t found anything suspicious– until now. Today an unexpected laptop briefly appeared on the company wireless network. Staff hypothesize it may have been someone in the parking lot, because no strangers were seen in the building. Ann’s computer, (192.168.1.158) sent IMs over the wireless network to this computer. The rogue laptop disappeared shortly thereafter.

“We have a packet capture of the activity,” said security staff, “but we can’t figure out what’s going on. Can you help?”

 

문제 개요다. 대충 Ann이란 사람이 비밀 레시피를 유출 시키려는 정황이 있는 것 같다.

우리는 포렌식 조사관이고 다음과 같은 문제를 풀어서 도와줘야한다.

 

1. What is the name of Ann’s IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?
6. What is the secret recipe?

 

http://forensicscontest.com/contest01/evidence01.pcap

이 링크로 evidence-1.pcap을 받는다.

 

1. What is the name of Ann’s IM buddy?

 

 

Ann과 대화하는 사람의 이름을 묻고 있다.

Statistics - Conversation에 들어가서 3번째 패킷을 확인해보면 위와 같은 화면을 볼 수 있다.

여기서 대화내용이 이고 Sec558user1이라는 특이한 스트링이 많이 보인다.

다른 패킷들을 보면 별다른 대화내용이 없기 떄문에  Sec558user1이 Ann과 대화를 나누는 아이디라고 할 수 있다.

 

답 : Sec558user1

 

 

 

2. What was the first comment in the captured IM conversation?

 

 

IM 대화에서 가장 먼저 말한 대화내용을 묻고 있다. 

 

답 : Here's the secret recipe... I just downloaded it from the file server.

 

 

 

3. What is the name of the file Ann transferred?

 

 

 

같은 패킷에서 바로 파일의 이름을 쉽게 알 수 있다.

 

답 : recipe.docx

 

 

 

4. What is the magic number of the file you want to extract (first four bytes)?

 

 

 

File Magic Number란 파일의 내용을 식별하거나 확인하는 데 사용되는 데이터이다.

File Magic Number와 File Signature는 같은 말이다.

파일의 header 부분에만 있는 파일 포맷도 있고 footer부분에만 있는 포맷도 있다.

 

 

파일 시그니처 검색 사이트 : https://www.garykessler.net/library/file_sigs.html

File Signatures

우리가 찾는 recipe 파일은 확장자가 docx로 되어있다.

docx파일의 파일 시그니처를 확인해보면 50 4B 03 04 14 00 06 00 인것을 알 수 있다.

 

답 : 50 4B 03 04 

 

 

 

6. What is the secret recipe?

 

 

 

5번 질문보다는 6번 질문을 먼저 하는 것이 좋다고 생각하여 먼저 풀어 보겠다.

 

 

 

 

4번 문제에서 docx 확장자의 File Signature는 50 4B 03 04 14 00 06 00 이었다.

이것을 스트링으로 표현하면 위 사진과 같이 PK......로 표현이 된다.

즉 이 부분이 docx 파일의 시작부분이라는 말과 같다. 

이 부분을 RAW파일로 저장하여 헥사 에디터를 이용하여 정상적인 docx파일만을 추출 할 수 있다.(맨 아래에있는 OFT2부분도 삭제해줘야한다.)

 

 

 

이렇게 RAW형식으로 저장을 해준 뒤 

 

 

 

 

필요없는 부분을 제거를 한 뒤 확장자를 docx로 바꾸고 저장을 하면 

 

 

정답

 

 

이렇게 secret recipe를 확인 할 수 있다.

 

 

 

5. What was the MD5sum of the file?

 

 

마지막으로 5번문제는 MD5 체크썸을 확인하는 것이다.

 

MD5는 128비트 암호화 해시 함수이다.

주로 프로그램이나 파일이 원본 그대로인지를 확인하는 무결성 검사 등에 사용이된다.

 

나는 MD5Check라는 툴을 이용하여 체크썸을 확인하였다.

 

 

 

 

답 : 8350582774e1d4dbe1d61d64c89e0ea1