[Network Forensic] DefCoN#21 #1

Network Forensic #1 DefCoN#21 #1

 

1번 문제

 

문제 파일로 pcap 파일이 주어집니다.

 

네트워크 문제이므로 Wireshark로 분석하였습니다.

 

Wireshark : 오픈 소스 패킷 분석 프로그램으로 pcap을 이용하여 패킷을 잡아내는 것이 주요 기능이다.

윈도우뿐만 아니라 리눅스 같은 유닉스 계열의 운영체제에서도 사용되며, 무차별 모드(promiscuous mode)를 지원해서 나한테 들어오고 나가는 패킷만 얻을 수 있는 것이 아니라 브로드캐스트나 멀티캐스트 트래픽도 얻을 수 있다.

 

Wireshark 실행

 

회의가 언제 진행되었는지 알 수 있는 데이터가 어떠한 형식으로 되어 있는지 알 수 없기 때문에 패킷의 용량이나 프로토콜 등을 확인하여 분석해야 합니다.

 

IRC 프로토콜 통신 발견

 

IRC : Internet Relay Chat로, 실시간 인터넷 채팅 프로토콜이자 이 프로토콜을 사용하는 채팅 서버 및 클라이언트 소프트웨어

 

패킷을 분석하다가 17번째 패킷에서 IRC 프로토콜로 통신한 것을 확인할 수 있습니다.

 

IRC 프로토콜은 위 설명과 같이 채팅 데이터가 기록될 확률이 매우 높습니다.

 

Follow TCP Stream

Follow TCP Stream 기능을 통해 분석해보면 Gregory와 Betty라는 사람이 대화를 한 내용을 볼 수 있습니다.

 

Gregory가 Betty에게 어떤 날에 만나고 싶은지 물어보는 내용이 인코딩 되어 있습니다.

 

인코딩 문자열을 확인해보면 16진수로 되어 있고 1Byte마다 특수 문자를 사용하여 값을 나누고 있습니다.

 

데이터의 형식을 검색해 확인해보면 HTML 인코딩 방식을 활용한 것으로 확인할 수 있습니다.

 

HTML 디코딩 사이트로 가서 대화 내용을 복호화하였습니다.

 

디코딩 내용

 

HTML 디코딩 사이트 : https://www.convertstring.com/ko/EncodeDecode/HtmlDecode   

HTML을 디코드 - 온라인 html로 디코더

디코딩하면 이어지는 대화 내용을 확인할 수 있습니다.

 

대화 내용을 확인해보면 수요일 2시로 약속이 된 것을 확인할 수 있으며, 플래그를 찾을 수 있습니다.