Multimedia Forensic #56 Find Key (docx)

 

56번 문제

 

문제 파일로 2013_CodeGate F300-find_key.docx 파일이 주어집니다.

 

문제 파일 안에 사진

 

사진2
사진3

 

파일을 열어보면 위 사진들처럼 각종 사진들이 있습니다.

 

스테가노그래피 문제에서 흔히 사용되는 확장자 변조를 확인하기 위해 HxD로 시그니처를 확인하였습니다.

 

시그니처 확인

 

동일한 시그니처 확인

 

시그니처는 50 4B 03 04로 ZIP파일의 시그니처와 동일하며, 그 외에도 16개의 파일과 같은 시그니처를 가집니다.

 

이 파일은 ZIP파일의 시그니처와 동일하며, docx는 압축 파일 구조를 따르는 문서입니다.

 

따라서, 확장자를 docx에서 zip으로 바꿔서 확인해보았습니다.

 

zip 파일 내용 확인

 

zip파일로 바꾸고 디렉토리를 확인하면 여러 파일들을 확인할 수 있습니다.

 

rels 파일

 

압축을 해제하고, word폴더에서 _rels폴더로 가서 document.xml.rels라는 파일을 확인할 수 있습니다.

 

document.xml.rels : ID와 각 데이터를 연결 정보를 확인할 수 있는 파일입니다.

 

File Viewer Plus 활용 파일 확인

File Viewer Plus : xml,rels 등 여러 문서 파일들의 내용을 확인할 수 있도록 도와주는 도구입니다.

 

바로 파일을 열 수 없어서 File Viewer Plus라는 도구를 활용해서 파일을 확인하였습니다.

 

확인해보면 관계가 맺어졌던 파일들의 목록을 확인할 수 있습니다.

 

계속 디렉토리를 분석해보면 word 디렉토리에 media 폴더에 2013_CodeGate F300-find key.docx를 zip파일로 바꾸기 전에 확인할 수 있었던 사진 파일들을 확인할 수 있습니다.

 

바꾸기 전 파일 확인

 

그런데 특이한 점은, image6.emf 파일만 정상적으로 열리지 않습니다.

 

파일 확인할 수 없음

 

또한 위에서 관계를 맺었던 파일들을 확인해보면 image6.emf파일은 확인할 수 없습니다.

 

따라서 image6.emf 파일을 숨기려고 했던 것으로 추측해볼 수 있습니다.

 

image6.emf 시그니처 확인

 

image6.emf 파일이 확장자가 변조된 것으로 예상하고, HxD로 확인해보면 50 4B 03 04 14 00 06 00 이었습니다.

 

 

image6.docx

50 4B 03 04 14 00 06 00 시그니처는 docx, pptx의 시그니처로 docx 확장자로 변경하면 2013이 빨간 글씨로 된 것을 확인할 수 있습니다.

 

분석을 추가적으로 진행하다보면 Hint를 통해서 Extra Field에 데이터가 은닉되었음을 예측할 수 있습니다.

 

docx, xlsx, pptx 파일은 OOXML(Office Open XML)으로 Office 문서용 XML 기반 형식입니다.

 

해당 파일 구조에는 파일 이름 뒤에 추가적인 정보를 저장하는 Extra Field가 존재하는데 파일 이름 뒤에 표시한 영역부터 Extra Field 입니다.

 

Extra Field

은닉된 정보를 추출하기 위해 ooXML Steganography v4를 이용하여 은닉된 정보를 추출하였습니다.

 

ooXML Steganography v4 : OOXML 구조의 데이터 Extra Field에 데이터를 은닉, 추출하는 기능을 제공해주는 도구

 

4개의 실행프로그램

도구를 다운받으면 4개의 실행프로그램을 확인할 수 있습니다.

 

 

ooXML Steganography 도구 사용

 

그 중에서 ooXML_Steganography_UnHider_x64.exe 파일을 실행시킵니다.

 

image6.docx 경로를 선택하고, Set decryption key에 2013을 복호화 키로 입력하고 Unhide data를 누르면 stego_unpack_10.09.2019_11.07.15.txt 이름으로 된 은닉된 데이터를 복호화 및 추출해주는 걸 확인할 수 있습니다.

 

ooXML Steganography v4

 

 

플래그 값 확인

 

텍스트 파일을 열어 확인하면 문제에서 요구한 키 값인 플래그를 확인할 수 있습니다.

 

FLAG = c0d2gate~2o13!!F0r2nsic!!!!!

 

저작자표시

'Digital Forensics > CTF-D' 카테고리의 다른 글

[Multimedia Forensic] 저는 이미지에서 어떤 것을...  (0) 2019.11.29
[Multimedia Forensic] 그들이 우리의 데이터를...  (0) 2019.11.29
[Multimedia Forensic] 주어진 파일들을...  (0) 2019.09.09
[Multimedia Forensic] e_e  (0) 2019.09.08
[Multimedia Forensic] QR코드를 발견했지만...  (0) 2019.09.08

+ Recent posts

티스토리툴바