Yum_Yum

Network Forensic #46 (lol team이라는 의심스러운 팀이 있습니다.)

문제 파일로 pcapng 파일이 주어진다.

패킷 분석을 위해 Wireshark 도구로 열어 확인하였다.

Wireshark : 오픈 소스 패킷 분석 프로그램으로 pcap을 이용하여 패킷을 잡아내는 것이 주요 기능

다운로드 사이트 : https://www.wireshark.org/download.html

Wireshark로 열어보면 총 8개의 패킷이 캡처된 것을 확인할 수 있다.

상세 스트림 내용 분석을 위해 [Analyze] - [Follow TCP Stream]을 통해 확인하였다.

TCP 스트림 0번의 내용을 살펴보면 http://2014.easyctf.com/account 사이트로 HTTP POST를 요청하고 있음을 확인할 수 있고, 변경한 비밀번호로 의심되는 내용도 확인 가능하다.

좀 더 추가적인 정보 확인을 위해 HTTP 프로토콜의 패킷을 분석하였다.

4번 패킷과 7번 패킷은 HTTP 프로토콜이다.

4번 패킷을 분석하던 중에 lolteam이 변경한 비밀번호 문자열을 발견하였다.

위 화면대로 4번 패킷을 분석하면 변경된 비밀번호를 확인할 수 있으며 플래그로 입력 시 문제를 해결할 수 있다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Network Forensic #45 (우리는 의심스러운 네트워크...)

문제 파일로 pcapng 파일이 주어진다.

패킷 분석을 위해 Wireshark 도구를 통해 파일을 열어준다.

우선 [Statics] - [Conversations] 기능을 통해 해당 파일의 연결 정보와 내용을 확인하였다.

Conversations 기능으로 확인한 TCP 화면이다.

자세히 보면, 83558 Bytes와 80195Bytes가 매우 큰 크기로 보인다.

해당 항목을 [Follow Stream]하여 상세 스트림 내용을 확인하였다.

TCP 스트림을 확인해보면 Drawing.png라는 의심스러운 파일이 발견된다.

그리고 위 Conversations 화면을 통해 해당 파일이 전송된 포트는 80번 포트임을 알 수 있다.

결론적으로 Drawing.png 파일은 웹으로 교환되었다고 추측할 수 있다.

송수신한 파일들의 목록 확인과 추출을 위해 [File] - [Export Objects] - [HTTP] 기능을 사용하였다.

내용을 확인해보면 TCP 스트림에서 확인했던 Drawing.png 파일과 이름이 같은 jpg 파일에 관한 내용을 볼 수 있다.

해당 항목을 Drawing.jpg 파일로 우측 하단의 [Save As] 기능을 통해 저장하고 실행한다.

Drawing.jpg 파일을 열면 플래그를 확인할 수 있고 문제를 해결할 수 있다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Disk Forensic #14 (누군가 부정행위를 했다는...)

문제 파일로 zip 파일이 주어진다.

리눅스 unzip 명령어를 통해 문제 파일의 압축을 풀어준다.

압축을 풀려고 시도하면 에러와 함께 풀리지 않고, out/'문자열' 형태의 출력을 확인할 수 있다.

상세 분석을 위해 HxD로 문제 파일을 열고 out/'문자열' 형태를 검색하여 분석하였다.

문자열 검색 기능을 통해 분석하던 도중 이상한 부분을 발견하였다.

첫 번째 문자열인 out/rxo802ayx4을 검색하면 바로 위에 'flag'를 반대로 적어 놓은 'galf' 4Byte의 문자열을 확인할 수 있다.

위 과정대로 계속해서 플래그와 관련된 문자열들이 은닉되어 있음을 확인할 수 있다.

위와 같은 방식으로 문자열을 정리하면 다음과 같다.

문자열들을 'galf'를 'flag'로 본 것과 같은 방식으로 정리하면 최종 플래그가 완성된다.

위 방식과 과정을 통해 문제를 해결할 수 있다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Multimedia Forensic #97 (우리는 이 이미지에...)

문제 파일을 실행하면 다음과 같이 고양이가 그려진 이미지가 나타난다.

이미지만 봐서는 지문에서 제시한 숨겨진 메시지는 보이지 않는다.

문제를 분석하는 것에 대한 힌트가 존재하지 않기 때문에 GIMP 도구를 사용해서 숨겨진 정보가 있는지 확인하였다.

GIMP : 사진 편집이나 이미지 생성 및 편집 등 다양한 이미지 작업을 하기에 적절한 편집 도구

설치 사이트 : https://www.gimp.org/

GIMP 프로그램으로 이미지를 분석하던 도중 색상표 기능을 통해 색상표가 데이터 매트릭스와 비슷하다는 것을 확인하였다.

색상표 : 디지털 이미지 파일의 헤더 부분에 인덱스 번호에 해당하는 색상을 지정한 것

데이터 매트릭스 : 작은 공간에 매우 많은 양의 데이터를 인코딩할 수 있는 2D 매트릭스 코드

색상표를 따로 캡처 및 저장 후 Stegsolve 도구를 사용하여 흑백으로 색이 구분되는 데이터 매트릭스의 특징에 맞게 색상을 반전시켰다.

Stegsolve : 스테가노그래피 분석 도구로 색상과 비트 별로 이미지를 분석하는 기능을 제공해주는 도구

설치 사이트 : http://www.wechall.net/forum/show/thread/527/Stegsolve_1.3/

확장자가 jar 파일이기 때문에 java가 설치되어 있어야 실행할 수 있다.

Stegsolve 프로그램을 실행하고 캡처한 이미지(색상표)를 불러온다.

그리고 하단의 > 화살표를 클릭해서 Red plane 5을 설정하면 원본 색상표와 거의 비슷한 화면이 보인다.

이제 데이터 매트릭스의 정보를 확인해야 한다.

위 화면은 마치 QR코드와 매우 유사한 이미지 형태이므로 QR코드 디코딩 사이트로 접속하여 데이터 매트릭스를 분석하였다.

QR코드 디코딩 사이트 : https://zxing.org/w/decode.jspx

데이터 매트릭스를 분석하게 되면, 위 화면에서 Parsed Result 부분에 URL 주소가 나타난다.

URL 주소를 입력한 뒤, 사이트에 접속하였다.

잠시 어느 사이트에 접속하게 되고, 몇초 뒤에 위 화면과 같이 검색창으로 이동된다.

검색창에 있는 문자열을 플래그로 입력하게 되면 문제를 해결할 수 있다. 

# Reference

http://www.yes24.com/Product/Goods/59156934

Multimedia Forensic #99 (woof!)

문제 파일로 PNG 파일이 주어진다.

여기서 중요한 것은, 문제 파일로 PNG 파일이 주어지지만 file 명령어로 파일 유형 정보를 확인하면 PNG 파일이 아닌 JPG 파일이다.

위 화면과 같이 명령 결과를 보면 JPEG 파일임을 알 수 있다. (이름이 너무 길어서 111로 변경)

확장자를 PNG에서 JPG로 바꾸고 다시 분석하였다.

우선 exiftool을 이용하여 파일의 메타데이터 정보를 분석한 다음, 은닉된 데이터가 없는지 확인하였다.

exiftool : 이미지, 비디오, 파일 등의 메타데이터를 분석, 수정하는 기능을 제공해주는 프로그램

설치 사이트 : https://sourceforge.net/projects/exiftool/

위 명령을 수행하면 파일에 대한 메타데이터 확인이 가능하다.

그런데 Author 부분에 의심스러운 문자열을 확인할 수 있다.

마치 파일의 오프셋과 같은 형태의 문자열로 보인다.

상세 분석을 위해, JPG 파일을 HxD로 열어 Author 문자열을 검색하면서 분석하였다.

앞부분인 4개의 오프셋을 통해 확인한 결과, flag라는 단어를 확인할 수 있다.

따라서 Author 문자열이 문제 파일의 오프셋을 의미하고, 각 오프셋의 데이터를 조합하면 문제를 해결할 수 있다.

위 방법대로, Author 문자열 오프셋을 모두 검색하면서 데이터를 조합하였다.

Author 문자열 오프셋에 대한 조합된 데이터이다.

조합된 데이터를 플래그로 입력하게 되면 문제 해결이 가능하다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Multimedia Forensic #70 (hohohahiho)

문제 파일로 zip 압축 파일이 주어진다.

지문에서 제공된 비밀번호를 이용해서 압축을 풀 수 있다.

압축을 해제하면 Koala.zip, passwd.txt 파일이 생성된다.

Koala.zip 파일은 압축 해제에 비밀번호가 걸려 있지만, 지문에서 제공된 비밀번호와 다르다.

그렇기 때문에 passwd.txt 파일부터 확인하였다.

텍스트 파일을 확인해보면 SHA256 : BINARY라는 문자열이 존재한다.

파일명이 passwd라는 것은 이 문자열이 비밀번호와 매우 관련있는 것으로 추측할 수 있다.

따라서 SHA256 문자열을 바이너리 데이터로 변환해서 Koala.zip 파일의 압축 해제에 사용하였다.

문자열 > 바이너리 변환 사이트 : https://codebeautify.org/string-binary-converter

바이너리를 비밀번호로 입력해주면, 압축 해제가 정상적으로 이루어지며 Koala.jpg 파일이 생성된다.

그리고 위 화면은 Koala.jpg 화면이다.

파일의 자세한 메타데이터 확인을 위해 exiftool을 사용하여 분석하였다.

exiftool : 이미지, 비디오, 파일 등의 메타데이터를 분석, 수정하는 기능을 제공해주는 프로그램

설치 사이트 : https://sourceforge.net/projects/exiftool/

결과를 확인해보면 사진에 대한 주석을 다는 Image Description 부분에 Base64 인코딩 데이터로 보인다.

Python 코드를 작성하여 디코딩하였다.

디코딩하면 여기는 아니라고 한다... (HaHa;;)

다시 exiftool로 분석한 결과를 보면, XP Comment 부분에 긴 문자열이 존재한다.

그 중 A와 B로만 구성되는 문자열이 존재한다.

문자열의 구성상 모스 코드와 매우 비슷해 보인다.

모스 코드에서 A는 .을 의미하고, B는 -을 의미한다.

위 방식대로 XP Comment 항목 데이터를 변환하였다.

변환된 모스 코드를 모스 코드 디코딩을 지원하는 웹사이트에 접속하여 디코딩을 진행하였다.

모스 코드 디코딩 사이트 : https://morsecode.world/international/translator.html

모스 코드가 디코딩되면 플래그를 확인할 수 있다.

따라서 위 방법대로 문제를 해결할 수 있다.

# Reference

http://www.yes24.com/Product/Goods/59156934