Yum_Yum

Multimedia Forensic #67 (어딘가에 숨겨진 메시지가 있을 것이다.)

문제 파일로 png 파일이 주어진다.

파일명만 보면 마치 스테가노그래피와 관련된 문제인 것 같다.

우선 파일을 실행해서 그림을 확인해보자.

png 파일을 실행해보면 이쁜 우주 그림을 볼 수 있다.

이번 문제를 풀기 위해 어떠한 방법을 사용해봐도 문제가 절대 풀리지 않았다.

그래서 관련된 내용을 책을 통해 확인해보면, 책에는 본 문제에 대한 힌트가 나오지만 본 문제에는 힌트와 관련된 내용은 전혀 나오지 않았다...

그렇기 때문에 문제를 매우 어렵게 접근하게 되어 Solve 수도 매우 적은 것 같았다.

책에서 나온 힌트는 다음과 같다.

Hint : bpp. 그건 믿을 수 없다.. 2bpp. 2X3 매트릭스 임베딩. Jessica Fridrich는 이 문제를 쉽게 해결할 것

문제에 대한 힌트를 해석해보면 다음과 같다.

먼저 bpp는 bit per pixel로 일정한 범위의 가짓수만큼 색을 표현하기 위해 사용되는 비트 개수를 부르는 단위이다.

그리고 2bpp는 2비트를 사용해서 픽셀 당 2비트를 사용한다는 의미이다.

힌트의 2x3 매트릭스 임베딩은 스테가노그래피에 사용되는 코딩 기법인데 힌트에서 언급된 Jessica Fridrich라는 교수가 2006년 Matrix embedding for large payloads라는 논문을 발표했었다.

모든 것을 종합해서 정리해보면 본 문제는 LSB 스테가노그래피와 매우 관련 깊은 문제이다.

LSB는 픽셀을 구성하는 비트 중 가장 오른쪽에 있는 1비트를 칭하지만 힌트로 2bpp가 주어졌기 때문에 픽셀 당 2비트의 데이터를 숨겼을 것으로 추측할 수 있다.

따라서 LSB에 대한 Python 코드를 작성하여 본 문제 해결이 가능하다.

코드를 작성한 후에 다음과 같은 명령을 입력하여 문제 파일의 결과에 대한 파일을 출력해보자.

코드의 이름을 lsb-stego로 해주고, 문제 파일 그리고 결과 파일 이름을 result로 지정해준 명령이다.

코드 실행이 종료되면 결과에 대한 result 파일을 file 명령어를 통해 파일 유형을 확인할 수 있다.

확인해보면 저장된 파일은 png 확장자를 갖는 그림 파일이다.

파일이 저장된 위치로 가서 결과를 확인해보면 다음과 같다.

파일을 실행해보면 문제에 대한 플래그를 확인할 수 있다.

위 방법을 통해 본 문제 해결이 가능하다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Multimedia Forensic #72 (저는 애니메이션을 좋아하는...)

지문이 200점 문제치고는 의외로 까다롭다...

우선 문제 파일인 jpg 파일을 열어 확인해보면 다음과 같은 그림이 나온다.

확인해보면 손상된 이미지이며, 지문에서 나온 Hint 2를 통해 손상된 이미지 복구가 아닌 해당 파일에 대한 원본 파일이 필요하다는 것을 추측해볼 수 있다.

문제 파일의 원본 파일은 다음과 같다.

원본 파일 : https://pp.userapi.com/c625217/v625217819/1eec5/5WzbbhtpMkQ.jpg

원본 파일을 확인한 후, 리눅스 환경에서 ls -l 명령어를 통해 원본 파일과 문제 파일을 비교해보자.

두 파일의 크기는 같지만, 정확한 데이터 값 분석을 위해 HexCmp2 프로그램을 통해 상세 분석을 진행해보자.

HexCmp2 : 각 파일의 Hex값을 비교하고, 다른 부분을 표시해주는 도구

설치 사이트 : https://softfamous.com/hexcmp/ 

[그림 3]에서 보이는 붉은 부분이 두 파일을 비교하였을 때, 서로 틀린 데이터 값을 표시하는 부분이다.

선명하게 보여주기 때문에 매우 유용한 도구이다.

다시 [그림 3]을 보면 원본 파일은 [7C 44 9E]로 시작하지만, 문제 파일은 [7C 45 9F]로 시작한다.

그리고 계속 분석해보면, 원본 파일의 특정 오프셋 Hex값에 1을 더해주면 문제 파일에 수정한 부분의 값들과 같음을 알 수 있다.

예를 들어 원본 파일의 [7C 44 9E]가 문제 파일에서는 [7C 45 9F]로 수정되었음을 알 수 있다.

이것으로 표시한 부분의 Hex값 차이를 구해 정리하면, 0과 1로 이루어진 이진 문자열을 얻을 수 있을 것이다.

이진 문자열 확인을 위해 Python 코드를 작성해보자.

이제 해당 코드를 이용하여 명령을 수행해보자.

diff라는 이름으로 Python 코드를 저장한 후, 2개의 파일을 입력하여 이진 문자열을 얻게하는 방식이다.

이진 문자열을 다음과 같이 출력하는 것을 볼 수 있다. (위 화면은 중간 내용으로, 나머지 내용은 너무 길어 생략)

이진 문자열을 확인한 후에 정리해보면, 해당 내용과 관련하여 아스키코드를 변환하는 방식이 있다.

아스키코드 변환 방식은 데이터를 은닉할 때 흔히 사용되는 방식으로 쓰인다.

따라서 위 [그림 5]에서 확인한 이진 문자열을 다음과 같은 명령을 통해 아스키코드로 변환할 수 있다.

echo와 perl 옵션을 통해 [그림 6]처럼 아스키코드로 변환이 가능하다.

명령을 수행하게 되면 하단에 문자열이 출력되며, 해당 문자열이 플래그라는 것을 확인할 수 있다.

위 과정을 통해 본 문제를 해결할 수 있다.

문제 해결~~

# Reference

http://www.yes24.com/Product/Goods/59156934

Multimedia Forensic #68 (stream)

문제 파일로 pcap 패킷 파일이 주어진다.

패킷 분석을 위해 Wireshark 도구를 사용해보자.

Wireshark : 오픈 소스 패킷 분석 프로그램으로 pcap을 이용하여 패킷을 잡아내는 것이 주요 기능

다운로드 사이트 : https://www.wireshark.org/download.html

Wireshark 도구로 문제 파일을 오픈한 후에 [Conversations] 기능으로 패킷을 확인해보면 TCP 프로토콜로 하나의 Stream이 존재한다.

해당 패킷 내용을 확인하기 위해 [Follow TCP Stream] 기능을 통해 내용을 확인해보자.

위 [그림 2]와 같이 TCP Stream 0번을 확인해보면 User-Agent 항목 값이 브라우저가 아닌 NSPlayer로 되어 있다.

그리고 Content-Type 항목 값을 통해 mms 프로토콜로 파일을 응답 받았다는 것을 확인할 수 있다.

따라서 해당 패킷을 통해 호스트에서 동영상 재생 프로그램으로 서버의 어떤 파일을 mms 프로토콜로 시청했다고 할 수 있다.

자세한 정보를 확인하기 위해 HTTP Object를 확인해보자.

Wireshark 도구에서 [File] - [Export Objects] - [HTTP] 기능을 통해 확인할 수 있으며, 살펴보면 한 개의 오브젝트가 존재한다.

위 [그림 3]에서 보이는 Content Type이 위에서 확인했던 TCP Stream의 Content Type과 동일하고 TCP Stream이 패킷에서 오직 1개만 존재하기 때문에 해당 파일이 시청된 동영상 파일이라는 것을 추측할 수 있다.

이제 해당 동영상 확인을 위해 리눅스 환경에서 환경을 구축해보자.

우선 리눅스에서 php로 서버를 실행한다.

php 설치 명령어 : sudo apt-get install php

[그림 4]와 같은 화면이 나오면 하단에 표시되는 Document root 경로에 문제 파일을 넣는다.

그리고 VLC Media Player을 실행한다.

VLC Media Player : DVD, 오디오 CD, VCD와 다양한 스트리밍 프로토콜뿐만 아니라 대부분의 멀티미디어 파일을 재생할 수 있는 무료 오픈 소스 크로스 플랫폼 멀티미디어 재생기

설치 명령어 : sudo snap install vlc

참조 사이트 : https://www.videolan.org/index.ko.html

리눅스 환경에서는 vlc-wrapper을 터미널에 입력해주면 실행할 수 있다.

VLC Media Player가 실행되면 다음과 같은 화면이 나타난다.

위 [그림 5]에서 표시가 되어 있는 것처럼 [미디어] - [네트워크 스트림 열기] 기능을 선택한다.

그리고 Network URL 입력 칸에 mms 프로토콜을 이용하여 저장했던 파일의 URL을 입력하자.

필자는 php를 통해 127.0.0.1:7777 서버를 열었고, 문제 파일 이름을 123456으로 저장한 상태를 기준으로 하였다.

모든 입력이 끝났으면 우측 하단에 [재생] 버튼을 클릭한다.

[재생] 버튼을 클릭하면 동영상이 실행되면서 플래그를 확인할 수 있다.

이렇게 해서 위와 같은 방법을 통해 문제 해결이 가능하다.

문제 해결~~

# Reference

http://www.yes24.com/Product/Goods/59156934

Disk Forensic #31 (도와주십시오, 누군가 깃발을 나누고 있습니다!)

문제 파일로 토렌트 파일이 주어진다.

토렌트는 하나의 파일을 piece라는 단위 조각으로 공유한다.

이런 piece 조각의 정보를 문제에서 주어진 토렌트 파일에서 확인 가능하다.

HxD로 해당 토렌트 파일을 확인해보면 공유 파일 크기는 28Byte이고, piece 조각 크기는 2Byte라는 것을 확인 가능하다.

여기서 28을 2로 나누면 14이며, piece가 총 14조각이라는 것을 알 수 있다.

그리고 위 정보에서 pieces280은 파라미터 뒤의 데이터는 암호화가 되어 전송된 piece가 280Byte임을 의미한다.

여기서 280을 14로 나누면 20이 계산되는데, 암호화가 된 1개의 piece조각이 20Byte임을 알 수 있다.

위 [그림 2]에서 표시한 280Byte 영역의 Hex 데이터를 암호화가 된 1개의 piece조각인 20Byte씩 순서대로 정리하면 다음과 같다.

Hex 데이터로 정리해보면 40글자의 문자열이 14줄 생성된다.

그리고 SHA-1 Hash 알고리즘은 40글자의 Hash 값을 생성하는데, 여기서 정리한 Hex 데이터가 SHA-1 알고리즘과 연관있다는 것을 추측해볼 수 있으며, 해당 데이터를 SHA-1 복호화를 통해 진행해보자.

SHA-1 복호화 사이트 : https://md5decrypt.net/en/Sha1/#answer 

14줄로 나눠 놓은 20Byte의 문자열을 소문자로 변경한 뒤에 한 줄씩 Decrypt를 진행하면 SHA-1 알고리즘으로 복호화 된 단어를 확인할 수 있다.

20Byte씩 14줄이므로 14번 진행해보면 문제에 대한 플래그를 얻을 수 있으며, 해당 값을 플래그로 입력해주면 문제 해결이 가능하다.

따라서 위 방법대로 본 문제를 해결할 수 있다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Disk Forensic #20 (경찰청은 최근 아동 성폭력...)

지문이 굉장히 긴 문제이다...

먼저 문제에서 제공한 이미지 파일을 FTK Imager에서 열어 확인해보자.

FTK Imager : 포렌식의 가장 기본 도구로, 디스크 이미징 작업에 많이 활용

다운로드 사이트 : https://accessdata.com/product-download/ftk-imager-version-4-2-1

파티션 1에서 Forensic[NTFS]의 폴더를 살펴보면 root/Users에서 사용자 계정을 확인할 수 있다.

우선 제일 의심스러운 CodeGate_Forensic 사용자 계정에서는 다운로드와 관련된 정보를 얻을 수 없다.

그러므로 추가 분석을 진행해보자.

분석 진행 도중에 Administrator 계정에서 토렌트와 관련된 uTorrent라는 이름으로 된 폴더를 확인할 수 있다.

따라서 uTorrent를 이용하여 다운로드를 했음을 추측해볼 수 있다.

파일의 경로는 root\Users\Administrator\AppData\Local\uTorrent이다.

이제 uTorrent에서 다운받은 파일의 경로와 설정 정보를 분석하기 위해서는 root\Users\Administrator\AppData\Roaming\uTorrent 폴더의 settings.dat 파일을 분석해야 한다.

settings.dat 파일을 [마우스 우클릭] - [Export Files...] 기능을 통해 해당 파일을 추출하여 지정 위치에 저장한다.

저장이 완료되면 토렌트 데이터 파일을 확인하기 위한 도구인 BEncode Editor 도구를 사용해보자.

BEncode Editor : 토렌트 데이터 파일을 편집, 확인할 수 있는 도구

다운로드 사이트 : https://sites.google.com/site/ultimasites/bencode-editor

settings.dat 파일을 열면 Administrator 계정과 관련된 경로를 확인할 수 있다.

경로는 C:\Users\CodeGate_Forensic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup이다.

이제 위에서 settings.dat 파일의 내용에 대해 BEncode Editor 도구를 사용하여 확인한 경로를 FTK Imager로 이동해보자.

이동하면 위와 같은 파일이 확인되고, 똑같이 추출하여 MAC 타임을 확인해보면 다음과 같은 시간이 확인된다.

MAC 타임에서 C는 Created(생성 시간)을 뜻한다.

따라서 해당 파일은 2012년 12월 24일 월요일 오후 1시 45분 43초에 생성된 파일이라는 것을 확인할 수 있다.

그리고 해당 파일의 데이터를 확인해보면 TorrentRG.com의 문자열을 확인할 수 있고, 따라서 이 파일은 다운로더의 음란물 다운로드 흔적은 토렌트를 이용한 해당 파일의 다운로드임을 확인할 수 있다.

이제 지금까지의 내용을 정리하여 문제에서 요구하는 플래그 형태로 정리해보자.

문제에서 요구하는 형태는 SHA1("md5(Evidence File)_Download Time") 형태이다.

정리해보면 SHA1("md5(052b585f1808716e1d12eb55aa646fc4984bc862)_2012/12/24_13:45:43")이다.

이제 SHA1과 MD5 Hash값을 구하기 위해 Hashcalc라는 도구를 이용해보자.

HashCalc : 다양한 해시값 추출 프로그램으로, 파일 무결성 검사 도구

설치 사이트 : https://www.slavasoft.com/hashcalc/

위 화면은 HashCalc 도구를 이용해 해당 파일에 대한 MD5 값을 나타낸 화면이다.

이제 마지막으로 문제에서 제시한 파일의 MD5 Hash값과 다운로드 시간을 조합해보자.

449529C93EF6477533BE01459C7EE2B4_2012/12/24_13:45:43 (MD5 Hash 값_다운로드 시간)

SHA1 Hash값을 HashCalc 도구를 이용하여 구하면 최종 플래그를 확인할 수 있다.

따라서 위 과정을 통해 본 문제 해결이 가능합니다.

추가적으로 토렌트 다운로드 경로와 관련 있음을 파악하기 위해 NTFS 파일 시스템의 메타데이터 트랜잭션 정보를 저장하고 있는 $LogFile과 MFT 엔트리 정보가 저장된 $MFT를 NTFS Log Tracker 도구를 통해 분석하는 방법도 있으며, 파일에 대한 정확한 MAC 타임 정보를 확인할 수 있습니다.

그리고 HashCalc 도구를 통해 나온 결과 값인 MD5 Hash 값은 소문자에서 대문자로 변환해주어야 최종 플래그 값이 정상적으로 출력됩니다.

# Reference

http://www.yes24.com/Product/Goods/59156934

Disk Forensic #34 (거대한 마약 조직을 잡으려는...)

문제 파일을 다운로드 하면 E01 확장자를 가진 디스크 이미지 파일을 확인할 수 있습니다.

FTK Imager 도구를 사용하여 디스크 이미지를 마운트하여 설치된 프로그램에는 어떠한 것들이 있는지 확인해 보자.

FTK Imager : 포렌식의 가장 기본 도구로, 디스크 이미징 작업에 많이 활용

다운로드 사이트 : https://accessdata.com/product-download/ftk-imager-version-4-2-1

프로그램 파일 목록을 확인한 결과, 눈여겨 볼만한 프로그램으로는 CCleaner(완전 삭제 프로그램), TeamViewer(원격 접속 프로그램), Outlook(메일), Skype(메신저) 등이 있다.

문제와 힌트로 컴퓨터를 통한 의사소통이라고 하였으며, 메일만이 유일한 통신 수단이 아니라고 하였다.

그러므로 문제 파일에 설치되어 있는 Skype가 메일 외에 통신을 가능하게 해주는 프로그램으로 유력한 증거로 추측해볼 수 있다.

Skype는 모든 활동 내용이 main.db에 남게 된다.

따라서 Skype의 폴더를 찾아 main.db를 확인해 보자.

main.db 경로 : root\Users\Charlotte\AppData\Roaming\Skype\live~

해당 경로 확인 결과, main.db 파일이 존재하지 않는 것을 확인할 수 있다.

main.db 파일은 Skype의 모든 활동 내역이 저장되는 데이터베이스로 반드시 존재하는 파일이다.

해당 파일이 삭제되었을 것으로 의심되므로 휴지통 폴더를 확인해보자. ($Recycle.Bin)

확인 결과, [그림 3]과 같이 main.db와 관련된 데이터베이스 파일($RNS7GYR.db)을 확인할 수 있다.

※ 디스크 이미지 휴지통 파일 이름 확인

• 파일 삭제 시에 $R~(원본 데이터)과 $I~(경로 정보)라는 두 개의 파일이 생성되는데 FTK Imager를 통하여 $I~ 파일을 텍스트 보기를 통해 확인해보면 삭제  전 파일의 경로와 이름을 확인 가능하다.

삭제된 해당 데이터베이스 파일을 추출하여 이름을 main.db로 변경하고 SkypeLogView를 통해 확인해보자.

[마우스 우클릭] - [Export Files...] 메뉴를 통해 해당 데이터베이스 파일을 추출할 수 있다.

이제 SkypeLogView를 실행하여 확인해보자.

SkypeLogView : 스카이프 메신저 프로그램에서 진행한 채팅 내역이나 통화 내역 등을 볼 수 있는 프로그램이며, 이를 확인하기 위해서는 main.db 데이터베이스 파일이 필요 

참조 사이트 : http://www.nirsoft.net/utils/skype_log_view.html

SkypeLogView를 통해 분석한 결과, [그림 5]와 같이 샬롯과 존의 대화 내용을 확인 가능하다.

그리고 밑에 전송된 파일 확인이 가능하다.

대화 내용을 통해 해당 파일이 기밀 문서처럼 보고나서 꼭 삭제하라는 내용이 있다.

위 내용을 통해 문제의 힌트가 말하는 기밀이 해당 파일일 것이라고 추측해볼 수 있다.

하지만 전송된 파일 확인을 위해 해당 파일 다운로드 경로를 확인해 보면 아무 것도 존재하지 않는다. 

그리고 이전에 살펴보았던 휴지통 폴더에도 db 파일만 존재하였던 것으로 보아 완전 삭제되었을 가능성이 높다.

(CCleaner 사용 가능성)

하지만 문제의 힌트처럼 파일을 삭제해도 남는 아티팩트를 생각하였을 때 썸네일을 생각해볼 수 있다.

썸네일은 파일이 삭제되어도 db 형태로 미리보기 형태의 이미지가 저장되어 있기 때문에 존재했던 파일의 유무를 확인할 수 있다.

그러므로 폴더의 미리보기 설정으로 저장되는 미리보기 캐시 파일(thumbcache)을 확인해 보자.

미리보기 캐시 파일을 확인해보기 위해 캐시 파일이 있는 경로에서 해당 데이터 파일을 추출한 다음, Thumbcache Viewer를 사룔하여 이미지를 확인해보자.

Thumbcache 경로 : root\Users\Charlotte\AppData\Local\Microsoft\Windows\Explorer

해당 파일을 [마우스 우클릭] - [Export Files...] 메뉴를 통해 파일을 추출한 다음, Thumbcache Viewer를 사용하여 이미지를 확인해 보자.

Thumbs Viewer : Thumbs.db 파일에 어떤 내용이 담겨 있는지 볼 수 있는 프로그램

설치 사이트 : http://www.janusware.com/?Download

이미지 확인 결과, Confidential(기밀)이라고 쓰인 문서 파일의 이미지를 확인할 수 있으며 해당 파일에 코드가 적혀 있는 것을 확인할 수 있다.

위 [그림 9]에 우측 표시 부분이 바로 해당 파일에 대한 코드이며, 문제의 플래그 값이 된다.

위와 같은 방식으로 문제 해결이 가능하다.

문제 해결~~

# Reference

http://www.yes24.com/Product/Goods/59156934