Multimedia Forensic #98 스테가노그래피에 대해서...
steg.pdf 파일이 주어지고, 바로 파일을 다운받아 내용을 확인하였습니다.
파일을 열어 확인해보면 논문으로 된 pdf 파일입니다.
하지만 이상한 점은 파일의 크기가 16MB로 보통 PDF 크기보다 매우 크다는 것을 알 수 있습니다.
스테가노그래피라고 하였으니 PDF 파일 안에 데이터가 은닉되어 있음을 알 수 있고, HxD로 열어 PDF 파일을 분석하였습니다.
PDF 파일은 %PDF 문자열 시그니처를 시작으로 해서 %EOF 문자열로 끝이 납니다.
찾기 기능을 통해 바로 %EOF 문자열이 있는 곳으로 이동합니다.
%EOF 문자열 뒤에 RIFF와 WAVE 문자열이 있는 것으로 보아 WAV 파일의 시그니처를 확인할 수 있습니다.
PDF 파일 안에 WAV 파일을 은닉하였다고 확인할 수 있습니다.
RIFF(52 49 46 46)부터 마지막 오프셋까지 카빙하여 wav확장자로 파일을 저장하고 확인해보겠습니다.
오디오 파일이므로 Audacity 프로그램을 통해 wav 파일을 분석하였습니다.
Audacity : 오디오 편집 기능과 녹음 기능을 제공해주는 도구
검은색 삼각형을 누르고 스테레오 트랙 분할을 누르면 두 개의 트랙으로 분리됩니다.
위쪽 채널은 음악이 나오지만, 아래쪽 채널만 집중해서 들어보면 음높이가 다른 2개의 음이 불규칙적으로 나오게 됩니다.
2개의 음이 반복됨에 따라 해당 소리를 통하여 바이너리 값을 얻을 수 있습니다.
두 음 중에서 높은 음을 1로 잡고, 낮은 음을 0으로 잡고 확인해보면 85bit 바이너리 문자열을 확인할 수 있습니다.
1001100111001000010101011000000011001000100100000100000000100111001101011100110110011
바이너리 문자열을 식별할 수 있는 내용으로 변환할 수 있는 방식을 분석하던 도중 Bacon's 암호화라는 것에 대해 알게 되었고, Bacon's 암호화는 스테가노그래피를 위한 암호화 방식이라는 것을 확인하였습니다.
Baconian Cipher는 Francis Bacon에 의해 고안된 스테가노그래피 방법으로 메시지의 내용이 아니라 표현 방식에 데이터를 은닉시킨다.
'A'와 'B'의 조합으로 문자를 나타내며 2가지 버전이 있다.
1번째 버전으로 해봤지만, 겹치는 알파벳이 있어서 그런지 플래그가 나오지 않아 2번째 버전으로 해봤더니 성공적으로 플래그를 얻을 수 있었습니다.
앞에 10011은 T가 되고, 다음 글자는 00111이기에 H가 옵니다.
이런 형식으로 85bit를 알파벳으로 바꾸면 플래그를 얻을 수 있습니다.
'Digital Forensics > CTF-D' 카테고리의 다른 글
| [Network Forensic] Sans Network Forensic [Puzzle 3] #1, #2 (0) | 2020.02.02 |
|---|---|
| [Network Forensic] DefCoN#21 #1 (0) | 2020.01.22 |
| [Multimedia Forensic] sayonara-bye가 남긴 흥미... (0) | 2020.01.12 |
| [Multimedia Forensic] 스타워즈 시간이 돌아왔다! (0) | 2020.01.12 |
| [Memory Forensic] GrrCoN 2015 #1, #2 (0) | 2020.01.01 |