Disk Forensic #32 (IU는 악성코드에 의해 감염된...)

 

디스크 포렌식 32번 문제

 

주어진 문제 파일은 확장자가 존재하지 않아 어떤 유형의 파일인지 알 수 없습니다.

 

리눅스 환경으로 옮겨서 file 명령어를 통해 파일 유형을 확인하였습니다.

 

[그림 1] file 명령어 사용

 

file 명령어를 통해 확인한 결과, 7z 압축 알고리즘 파일인 것을 확인하였습니다.

 

확장자를 7z로 지정하고 압축을 풀면 피해 시스템에 저장된 쿠키 파일이 존재합니다.

 

[그림 2] 쿠키 파일

 

파일 경로 : Users\proneer\AppData\Local\Google\Chrome\User Data\Default\Cookies

 

 

Cookies 파일 역시 확장자가 존재하지 않아 file 명령어로 파일 유형을 확인합니다.

 

[그림 3] file 명령어 사용

 

파일 유형 확인 결과, SQLite에 관한 파일입니다.

 

SQLite 파일에 대한 상세 분석을 위해 SQLiteBrowser 도구로 분석하였습니다.

 

DB Browser for SQLite 다운로드 : https://sqlitebrowser.org/dl/

 

Downloads - DB Browser for SQLite

Windows Our latest release (3.11.2) for Windows: Note - If for any reason the standard Windows release does not work (e.g. gives an error), try a nightly build (below). Nightly builds often fix bugs reported after the last release. 😄 macOS Our latest relea

sqlitebrowser.org

[그림 4] SQLiteBrowser 프로그램 실행 (URL 정보)

 

SQLiteBrowser 프로그램으로 Cookies 파일을 오픈한 화면입니다.

 

URL 정보를 확인해보면 악성 URL로 보이는 정보는 찾아볼 수 없습니다.

 

지문에서 악성코드에 시스템이 감염됐을 때 흔적이 지워졌을 수도 있다고 언급한 것을 생각해보면 악성 URL이 쿠키 파일에서 기록 되어야할 위치에서 지워져서 일반적인 SQLite 분석 프로그램을 사용했을 때 발견되지 않았을 수도 있습니다.

 

추가 분석을 위해 SQLiteBrowser 프로그램으로 분석했을 때는 없었지만 strings 명령어로 분석했을 때는 존재하는 URL이 있는지 확인하였습니다.

 

[그림 5] strings 명령어 사용

 

Cookies 파일의 데이터가 커서 텍스트 파일로 저장한 다음, 분석하였습니다.

 

[그림 6] 텍스트 파일 - URL 발견

 

내용을 확인해보면 .test.wargame.kr이라는 URL이 발견됩니다.

 

이 URL은 SQLiteBrowser 프로그램을 사용했을 때는 존재하지 않았던 URL입니다.

 

그리고 정상적으로 운영하는 워게임 사이트의 URL 앞에 test라는 문자열이 포함된 것을 보면 해당 URL이 악성 URL일 가능성이 매우 큽니다.

 

악성 URL 뒤에 utmz, utma 쿠키와 관련 값이 존재합니다.

 

utma는 웹 브라우저에서  웹 사이트를 처음 방문할 때의 시간 정보가 저장되는 쿠키이고, utmz는 방문자가 사이트를 방문하는데 사용하는 접속 유형 정보가 저장되는 쿠키입니다.

 

악성코드에 시스템이 감염되는 상황을 따져보면 웹 사이트에 처음 방문할 때가 감염 됐을 확률이 가장 높습니다.

 

데이터 위치

의미

1번째

각 도메인의 고유한 Hash값

2번째

고유 식별자(고유 ID)

3번째

처음 웹사이트를 방문한 시간의 타임스탬프

4번째

이전 방문에 대한 타임스탬프

5번째

현재 방문에 대한 타임스탬프

6번째

시작된 세션 수

 

위 표는 utma 쿠키에 기록된 값을 구분할 수 있는 데이터의 위치와 의미입니다.

 

utma 쿠키에 기록된 인코딩 시간 정보를 DCODE 프로그램을 사용해서 실제 시간으로 변환하였습니다.

 

Dcode 다운로드 : https://www.digital-detective.net/dcode/

 

DCode™ | Digital Detective

DCode™ is a simple utility for converting the hex and integer values found by investigators during a forensic investigation into readable timestamps.

www.digital-detective.net

 

[그림 7] 시간 정보 계산

 

3번째 값이 처음 웹 사이트를 방문한 시간이므로 1328799447 값을 디코딩합니다.

 

Decode Format을 Unix: Numeric Value로 변경하고, Value to Decode에 1328799447을 입력합니다.

 

마지막으로 Decode 버튼을 누르면 날짜와 시간이 실제 시간 정보로 나타납니다.

 

이제 최종적으로 구한 정보들을 토대로 플래그 포맷에 맞게 입력하면 문제를 해결할 수 있습니다.

# Reference

 

http://www.yes24.com/Product/Goods/59156934

저작자표시

'Digital Forensics > CTF-D' 카테고리의 다른 글

[Network Forensic] Sans Network Forensic [Puzzle 4] #1, #2, #3  (0) 2020.03.12
[Disk Forensic] Please get my key back!  (0) 2020.03.11
[Disk Forensic] 서울에 사는 IU가 특정 웹...  (0) 2020.03.11
[Disk Forensic] 파일에서 플래그를 찾아라.  (0) 2020.03.11
[Disk Forensic] X 회사의 재정 정보를 훔치기...  (0) 2020.03.10

+ Recent posts

티스토리툴바