Yum_Yum

Disk Forensic #18 (제 드라이브에 catz 사진이 몇 장 있습니다!)

문제 파일로 img 확장자의 파일이 주어진다.

우선 리눅스 환경으로 옮긴 뒤, file 명령어를 통해 문제 파일의 유형을 확인한다.

확인 결과, catz.img 파일은 ext4 파일시스템이라는 것을 확인하였다.

좀 더 상세 분석을 위해 catz.img 파일을 FTK Imager 도구를 통해 마운트한다.

FTK Imager : 포렌식의 가장 기본 도구로, 디스크 이미징 작업에 많이 활용

다운로드 사이트 : https://accessdata.com/product-download/ftk-imager-version-4-2-1

다운받은 FTK Imager를 실행하고, [File]에서 [Add Evidence Item]을 선택한다.

파일 선택 화면에서 Image File을 선택하고, 문제 파일을 마운트한다.

문제 파일을 마운트하면 여러 고양이 사진 파일들을 확인할 수 있다.

모든 파일들을 분석해봤지만, 플래그와 관련된 정보는 확인할 수 없다.

여기서 중요한 것은 문제에서 파일을 삭제했다는 힌트가 있다.

img 파일은 ext4 파일 시스템이다.

ext4 파일 시스템의 삭제된 데이터를 복구하기 위해 사용하는 도구로 extundelete가 있다.

extundelete : ext3, ext4 파일 시스템에서 삭제된 파일을 복구해주는 기능을 제공

다운로드 사이트 : https://sourceforge.net/projects/extundelete/

위 화면에서 쓰인 --restore-all 옵션은 모든 파일을 복구한다는 의미이다.

명령을 통해 RECOVERED_FILES 라는 폴더에 파일이 복구됐음을 확인하였다.

복구를 확인한 다음,  .cat.jpg파일을 확인하였다.

cat 명령어를 통해 jpg 파일을 확인해보면 플래그를 확인할 수 있다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Network Forensic #49 (나는 힉스 입자가 발견되지 않을 것이라고...)

주어진 문제 파일은 확장자가 존재하지 않아 어떤 유형의 파일인지 알 수 없다.

리눅스 환경으로 옮겨 file 명령어를 사용하여 파일 유형을 확인하였다.

결과를 확인해보면 문제 파일은 xz 압축 알고리즘으로 압축된 파일임을 확인할 수 있다. (문제 이름은 너무 길어 123으로 변경)

파일의 이름 뒤에 .xz를 추가하고 unxz 명령어를 사용해서 압축을 풀어준다.

압축을 풀면 위 파일과 마찬가지로 확장자가 없다.

다시 한 번 file 명령어를 사용해서 파일 유형을 확인한다.

압축을 풀면 이번엔 tar 압축 알고리즘으로 압축된 파일을 확인할 수 있다.

tar 명령어를 사용해서 해당 파일의 압축을 풀어준다.

압축을 풀면 패킷 덤프 파일이 나타난다. 

윈도우 환경으로 옮겨서 Wireshark 도구로 패킷을 분석한다.

Wireshark : 오픈 소스 패킷 분석 프로그램으로 pcap을 이용하여 패킷을 잡아내는 것이 주요 기능

다운로드 사이트 : https://www.wireshark.org/download.html

Wireshark 도구로 문제 파일을 오픈한 화면이다.

Wireshark의 [Statics] - [Conversations] 기능을 사용하여 패킷에서 TCP 통신이 이루어졌던 흔적을 확인한다.

이제 어떤 데이터가 담겨 있는지 [Follow TCP Stream] 기능으로 확인한다.

위 화면과 같이 TCP Stream 0번을 보면 Particles라는 이름의 파일이 어디로 전송된 흔적을 확인할 수 있다.

또한 파일의 정보 중 Hash값이 존재한다.

다른 파일들도 전송된 흔적이 있는지 확인하기 위해 패킷의 Hash값을 이용하여 리눅스 환경으로 옮겨 strings 명령어로 SHA-1 문자열을 필터링하였다.

결과를 확인해보면 총 6개의 Hash값이 있다.

Hash값만 통해 어떤 기능을 하는 파일인지는 알 수가 없으니 구글링(검색)을 통해 확인하였다.

6개의 SHA-1 Hash값을 모두 검색한 결과, 5개의 Hash값은 특별한 내용이 없었지만 마지막 Hash값을 검색하면 악성코드를 분석해주는 사이트인 Hybrid Analysis에서 파일의 분석한 결과를 알려준다.

자세한 정보 확인을 위해 사이트로 접속하여 내용을 확인하였다.

위험 평가 내용을 확인해보면 이 파일은 원격 액세스, Windows 계정 이름 조회 등의 기능을 수행한다고 한다.

이를 통해 이 Hash값에 매칭 되는 파일은 악성파일이란 것을 확인할 수 있다.

이제 플래그 확인을 위해 더 자세한 내용을 분석하였다.

악성코드 분석 페이지의 [Screenshots] 항목을 보면 파일에 대한 파일 실행 결과를 확인할 수 있다.

실행 결과로 해당하는 Hash값 문자열이 나타나 있으며 해당 값이 이번 문제의 플래그이다.

※ 주의사항

문제에서는 플래그 포맷인 ASIS{}가 적혀 있지 않다...

필자도 플래그 포맷이 없어서 당황했었고, 책 내용을 확인한 후에 알게 되었다.

플래그 입력 시에 꼭 ASIS{} 포맷을 넣어주세요!!

# Reference

http://www.yes24.com/Product/Goods/59156934 

Network Forensic #44 (살인을 확인할 수 있습니까?)

문제 파일로 pcapng 파일이 주어진다.

해당 파일을 Wireshark로 열려고 시도하면, 손상되어 열리지 않는다.

손상된 pcapng 파일을 복구하기 위해 pcapfix 도구를 통해 손상된 부분을 복구하였다.

pcapfix : 손상된 pcap, pcapng 파일을 복구시켜주는 도구

설치 참조 사이트 : https://f00l.de/pcapfix/

다운받은 파일의 압축을 풀어주면 폴더가 생성되며, 안에는 여러 파일들이 있다.

폴더 안에 문제 파일을 같이 넣어준 다음, 명령어를 통해 pcapng 파일을 복구할 수 있다.

위와 같이 명령을 수행하면 복구된 fixed_kill.pcapng 파일이 생성된다.

이제 Wireshark 도구를 통해 분석할 수 있다.

Wireshark : 오픈 소스 패킷 분석 프로그램으로 pcap을 이용하여 패킷을 잡아내는 것이 주요 기능

다운로드 사이트 : https://www.wireshark.org/download.html

Wireshark 도구로 문제 파일을 오픈한 화면이다.

상세 분석을 위해 [Statics] - [Conversations] 기능을 통해 두 호스트 간의 연결 정보나 내용을 간략히 정리해서 볼 수 있다.

TCP 탭의 내용을 살펴보면 위 화면과 같이 21번 포트의 정보를 확인할 수 있다.

21번 포트는 FTP에 사용되는 포트번호이다.

FTP (File Transfer Protocol) : 파일 전송에 사용되는 프로토콜

상세 내용 확인을 위해 [Follow TCP Stream] 기능으로 확인하였다.

TCP Stream 0번에서 jpg 파일과 mp4 파일들을 주고 받은 것을 확인할 수 있다.

jpg 파일의 시그니처는 [FF D8 FF E0]으로, Wireshark의 Find Packet(Ctrl + F)에서 Hex Value로 설정하고 jpg 파일 시그니처를 검색하면 jpg 파일들의 데이터를 확인할 수 있다.

데이터를 검색, 분석하던 도중 위 화면과 같이 696번 패킷에서 플래그 문자열을 확인하였다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Network Forensic #54 (하늘은 왜 푸른색입니까?)

문제 파일로 txz 압축 파일이 주어진다.

압축을 풀게 되면 blue.tar 파일이 생성되며, 한번 더 압축을 풀면 blue.pcap 파일이 생성된다.

pcap 파일을 바로 분석하려고 했지만, 중요한 것은 pcap 파일 안에 다른 파일이 은닉되어 있었다.

리눅스 환경에서 binwalk 도구를 통해 은닉된 데이터를 확인하였다.

binwalk : 대표적인 펌웨어 분석 툴로, 펌웨어 분석뿐만 아니라 포렌식 시 파일 카빙 등에 사용할 수 있는 유용한 도구 

참고 사이트 : https://github.com/ReFirmLabs/binwalk

binwalk를 통해 분석하면 png 파일이 은닉 되어있음을 확인할 수 있다.

상세 분석을 위해 Wireshark 도구로 blue.pcap 파일을 열어 확인하였다.

Wireshark : 오픈 소스 패킷 분석 프로그램으로 pcap을 이용하여 패킷을 잡아내는 것이 주요 기능

다운로드 사이트 : https://www.wireshark.org/download.html

png 파일을 찾기 위해 Find Packet(Ctrl + F) 기능으로 Packet Bytes에 png를 검색한 결과, 이상한 부분을 발견하였다.

283번 패킷의 헤더를 확인해보면 [02 0c 20]으로 시작하는 것으로 확인된다.

추가적 분석을 위해 Find Packet 기능을 통해 Hex 값을 검색해보면 283번 패킷 이후에 [02 0c 20] 의 헤더를 가진 의심스러운 데이터를 분석하면 6개의 패킷 (288번, 293번, 298번, 303번, 308번, 313번)을 추가적으로 찾을 수 있다.

Wireshark 도구에는 [File] 탭에 [Export Selected Packet Bytes] 기능이 있다.

이 기능을 통해 패킷의 Bytes 데이터를 추출할 수 있으며, 위에서 확인한 7개의 패킷을 추출하여 순서대로 조합하면 은닉된 png 파일을 확인할 수 있다.

283번 패킷은 1.bin, 288번 패킷은 2.bin 이런 방법으로 313번 패킷 7.bin까지 추출하였다.

7개의 파일을 조합하기 전에, HxD를 실행하여 bin 파일의 헤더를 제거해야 한다.

283번 bin 파일을 제외한 6개의 파일 헤더의 Hex값은 맨 위 화면대로 제거한다.

그리고 마지막 0E Hex 값 제거는 7개의 파일 모두 동일하게 제거한다.

마지막으로 283번 bin 파일만 png의 헤더 시그니처가 맨 앞으로 와야 하므로 283번 패킷만 특정하게 제거한다.

이제 7개의 파일을 조합시키면 png 파일이 완성된다.

HxD의 [기타 설정(Extra)] - [파일 도구(File tools)] - [연결(Concatenate)] 기능을 통해 7개의 bin 파일을 조합할 수 있다.

1.bin 파일부터 7.bin 파일까지 순서대로 조합하여, 하나의 png 파일을 만들 수 있다.

출력하는 png 파일 명은 flag로 지정하여 파일을 출력하였다.

출력된 png 파일을 확인하면 플래그를 확인할 수 있다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Network Forensic #48 (조용할수록 더 귀를...)

문제 파일로 tar.gz 확장자의 파일이 주어진다.

해당 파일의 압축을 해제한다.

압축을 해제하면 pcapng 파일이 생성된다.

해당 파일의 패킷 분석을 위해 Wireshark 도구를 통해 분석하였다.

Wireshark : 오픈 소스 패킷 분석 프로그램으로 pcap을 이용하여 패킷을 잡아내는 것이 주요 기능

다운로드 사이트 : https://www.wireshark.org/download.html

Wireshark를 통해 확인해보면 STP, ICMP, DNS, CDP 등 다양한 프로토콜을 사용한 패킷들을 확인할 수 있다.

해당 패킷들을 자세히 살펴보면 STP와 ICMP 패킷들이 많이 사용된 것으로 보인다.

두 종류의 패킷을 세부적으로 확인해보면 해당 패킷 데이터들이 다 동일하여 별다른 정보를 찾을 수 없다.

하지만 ICMP 패킷에서 이상한 점을 발견하였다.

ICMP 프로토콜을 필터링하여 확인한 결과, seq 번호가 0으로 설정되어 있는 ping 패킷들이 대다수 있는 것을 확인하였다.

ICMP 요청에 대한 응답 메시지인지 확인하기 위해 있어야할 seq의 번호 값이 0으로 설정되어 있다는 것이 매우 이상한 점이다.

해당 ICMP 패킷들의 데이터 값들을 자세히 살펴보면 식별자 정보(Identification)에 한 글자씩 문자 값이 들어가 있는 것을 확인할 수 있으며, request 패킷에 연속적으로 이어지는 문자열을 확인할 수 있다.

위 화면과 같이 seq 번호가 0인 request 패킷들의 식별자 정보 부분을 확인해 정리하면 다음과 같은 문자열을 확인할 수 있다.

here is your flag라는 문자열과 함께 오른쪽 부분에서 플래그 확인이 가능하다.

오른쪽 문자열을 플래그로 입력해주면 문제를 해결할 수 있다.  

# Reference

http://www.yes24.com/Product/Goods/59156934

Network Forensic #47 (당신은 캡처 파일에서 플래그를 찾을 수 있는가?)

문제 파일로 pcap 파일이 주어진다.

패킷 분석을 위해 Wireshark 도구를 사용하여 파일을 분석하였다.

Wireshark : 오픈 소스 패킷 분석 프로그램으로 pcap을 이용하여 패킷을 잡아내는 것이 주요 기능

다운로드 사이트 : https://www.wireshark.org/download.html

Wireshark 도구의 [Statics] - [Conversations] 기능을 이용하여 패킷을 확인한다.

TCP 프로토콜로 하나의 Stream만 존재하는 것을 확인하였다.

TCP 프로토콜의 상세 분석을 위해 [Follow TCP Stream] 기능을 통해 내용을 확인하였다.

내용을 확인하면 위 화면과 같이 플래그가 존재하는 것을 확인할 수 있다.

문제 파일의 이름이 easy인 것처럼, 쉽게 풀 수 있는 네트워크 포렌식 문제이다.

# Reference

http://www.yes24.com/Product/Goods/59156934