Network Forensic #49 (나는 힉스 입자가 발견되지 않을 것이라고...)

 

네트워크 포렌식 49번 문제

 

주어진 문제 파일은 확장자가 존재하지 않아 어떤 유형의 파일인지 알 수 없다.

 

리눅스 환경으로 옮겨 file 명령어를 사용하여 파일 유형을 확인하였다.

 

[그림 1] file 명령어 사용

 

결과를 확인해보면 문제 파일은 xz 압축 알고리즘으로 압축된 파일임을 확인할 수 있다. (문제 이름은 너무 길어 123으로 변경)

 

파일의 이름 뒤에 .xz를 추가하고 unxz 명령어를 사용해서 압축을 풀어준다.

 

[그림 2] unxz 명령어

 

압축을 풀면 위 파일과 마찬가지로 확장자가 없다.

 

다시 한 번 file 명령어를 사용해서 파일 유형을 확인한다.

 

[그림 3] 다시 한 번 file 명령어 사용

 

압축을 풀면 이번엔 tar 압축 알고리즘으로 압축된 파일을 확인할 수 있다.

 

tar 명령어를 사용해서 해당 파일의 압축을 풀어준다.

 

[그림 4] tar 명령어 사용 - 압축 풀기

 

압축을 풀면 패킷 덤프 파일이 나타난다. 

 

윈도우 환경으로 옮겨서 Wireshark 도구로 패킷을 분석한다.

 

Wireshark : 오픈 소스 패킷 분석 프로그램으로 pcap을 이용하여 패킷을 잡아내는 것이 주요 기능

 

다운로드 사이트 : https://www.wireshark.org/download.html

 

Wireshark · Download

Riverbed is Wireshark's primary sponsor and provides our funding. They also make great products that fully integrate with Wireshark. I have a lot of traffic... ANSWER: SteelCentral™ AppResponse 11 • Full stack analysis – from packets to pages • Rich perfor

www.wireshark.org

 

[그림 5] Wireshark 도구 실행 - 문제 파일 오픈

 

Wireshark 도구로 문제 파일을 오픈한 화면이다.

 

Wireshark의 [Statics] - [Conversations] 기능을 사용하여 패킷에서 TCP 통신이 이루어졌던 흔적을 확인한다.

 

[그림 6]Statics - Conversations 기능

 

이제 어떤 데이터가 담겨 있는지 [Follow TCP Stream] 기능으로 확인한다.

 

[그림 7] tcp.stream eq 0

 

위 화면과 같이 TCP Stream 0번을 보면 Particles라는 이름의 파일이 어디로 전송된 흔적을 확인할 수 있다.

 

또한 파일의 정보 중 Hash값이 존재한다.

 

다른 파일들도 전송된 흔적이 있는지 확인하기 위해 패킷의 Hash값을 이용하여 리눅스 환경으로 옮겨 strings 명령어로 SHA-1 문자열을 필터링하였다.

 

[그림 8] Strings 명령어 사용

 

결과를 확인해보면 총 6개의 Hash값이 있다.

 

Hash값만 통해 어떤 기능을 하는 파일인지는 알 수가 없으니 구글링(검색)을 통해 확인하였다.

 

[그림 9] SHA-1 Hash값 검색 결과

 

6개의 SHA-1 Hash값을 모두 검색한 결과, 5개의 Hash값은 특별한 내용이 없었지만 마지막 Hash값을 검색하면 악성코드를 분석해주는 사이트인 Hybrid Analysis에서 파일의 분석한 결과를 알려준다.

 

자세한 정보 확인을 위해 사이트로 접속하여 내용을 확인하였다.

 

[그림 10] 해당 사이트 정보

 

위험 평가 내용을 확인해보면 이 파일은 원격 액세스, Windows 계정 이름 조회 등의 기능을 수행한다고 한다.

 

이를 통해 이 Hash값에 매칭 되는 파일은 악성파일이란 것을 확인할 수 있다.

 

이제 플래그 확인을 위해 더 자세한 내용을 분석하였다.

 

[그림 11] 파일 실행 결과 (플래그)

 

악성코드 분석 페이지의 [Screenshots] 항목을 보면 파일에 대한 파일 실행 결과를 확인할 수 있다.

 

실행 결과로 해당하는 Hash값 문자열이 나타나 있으며 해당 값이 이번 문제의 플래그이다.

 

※ 주의사항

문제에서는 플래그 포맷인 ASIS{}가 적혀 있지 않다...

필자도 플래그 포맷이 없어서 당황했었고, 책 내용을 확인한 후에 알게 되었다.

플래그 입력 시에 꼭 ASIS{} 포맷을 넣어주세요!!

# Reference

 

http://www.yes24.com/Product/Goods/59156934 

저작자표시

'Digital Forensics > CTF-D' 카테고리의 다른 글

[Disk Forensic] 서울에 위치한 X 에너지 기업이...  (0) 2020.03.10
[Disk Forensic] 제 드라이브에 catz 사진이 몇 장 있습니다!  (0) 2020.03.10
[Network Forensic] 살인을 확인할 수 있습니까?  (0) 2020.03.10
[Network Forensic] 하늘은 왜 푸른색입니까?  (0) 2020.03.09
[Network Forensic] 조용할수록 더 귀를...  (0) 2020.03.09

+ Recent posts

티스토리툴바