NetworkMiner를 사용해 [Credentials] 탭을 확인해보면 Joe의 IP 주소인 192.168.1.100에서 192.168.1.1로 접속한 Username과 Password를 위 화면처럼 확인할 수 있다.
[그림 4] NetworkMiner Parameters 확인
또한 [Parameters] 탭을 통해 IP 주소 192.168.1.100에서 192.168.1.1로 보내지는 패킷을 확인해보면 Authorization이라는 Parameter name을 확인할 수 있으며 Parameter value 값에 base64로 인코딩 된 문자열을 확인할 수 있다.
Aircrack-ng 도구는 대부분 CLI 형태로 되어 있지만, 필자는 GUI 형태의 도구로 분석하였다.
[그림 2] Aircrack-ng (GUI) 파일 분석
해당 문제 파일을 찾은 다음, Launch 버튼을 누르면 분석을 시작한다.
[그림 3] 분석 결과
aircrack-ng로 분석한 결과, WEP 방식으로 암호화 되어 있다는 것과 해당 암호 키에 대한 정보를 얻을 수 있다.
무선 패킷의 복호화를 위해 aircrack 패키지 중 복호화 도구인 airdecap-ng를 사용하여 패킷 복호화를 진행하였다.
(위 사이트에서 aircrack-ng 도구를 다운받으면, 같은 폴더에 복호화 도구가 있다.)
[그림 4] airdecap-ng 복호화 결과
복호화 된 pcap 파일이 해당 폴더에 생성된다.
이제 Wireshark 도구로 복호화 된 파일을 확인해보자.
[그림 5] 복호화 된 pcap 파일 확인
pcap 파일을 확인해보면 일반적으로 볼 수 있는 상태의 pcap 파일이다.
pcap 파일 확인 결과, IMAP이나 STMP 등 메일과 관련된 프로토콜을 사용한 것을 확인 가능하다.
첫 번째 패킷의 IMAP 패킷을 [Follow TCP Stream] 기능을 통해 확인해보면 다음과 같은 결과가 나온다.
[그림 6] 첫 번째 IMAP 패킷 확인
해당 결과를 확인해보면 문제에서 등장했던 Dark Tangent에게 보내는 메일 내용이라는 것을 확인할 수 있다.
메일 내용을 통해 Ann과 Dark Tangent가 만날 랑데부 지점에 대한 힌트가 첨부 파일에 있다는 것을 알 수 있다.
또한 image 형식의 첨부 파일을 보낸 것도 확인할 수 있으며 base64로 인코딩 되어 전송되었다는 것도 확인할 수 있다.
따라서 해당 데이터를 추출해 base64로 디코딩하면 첨부된 이미지 파일을 확인할 수 있다.
[그림 6] missing in captuer file
하지만 첨부 파일 인코딩 데이터 중간에 missing in capture file이라는 문자열이 있다.
따라서 현재 패킷을 통해서는 첨부 파일 복원을 진행할 수 없다는 것을 알 수 있다... (너무 어려움)
문제로 주어진 패킷을 보면, IMAP 패킷 이외에 메일과 관련된 SMTP 패킷도 있기 때문에 SMTP 패킷도 확인해보자.
[그림 7] SMTP 패킷 - Follow TCP Stream 기능
Wireshark 필터를 사용해 SMTP 프로토콜을 검색한 후, 첫 번째 SMTP 프로토콜 패킷을 [Follow TCP Stream]을 통해 확인해보면 기존 IMAP 프로토콜 패킷과 동일한 내용 확인이 가능하며, 첨부 파일 데이터도 중간 손실 데이터가 없는 온전한 상태인 것을 확인할 수 있다.
첨부 파일의 데이터를 base64 디코딩 사이트를 통해 확인하면 다음과 같은 결과를 볼 수 있다.
