문제 링크: http://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim
Puzzle #1: Ann’s Bad AIM – Network Forensics Puzzle Contest
Anarchy-R-Us, Inc. suspects that one of their employees, Ann Dercover, is really a secret agent working for their competitor. Ann has access to the company’s prize asset, the secret recipe. Security staff are worried that Ann may try to leak the company’s
forensicscontest.com
증거 파일인 pcap 파일을 통해 주어진 6개의 질문에 답을 하면 된다.
↓pcap 파일이 뭔지 모른다면 클릭!↓
참고로 pcap 파일은 프로그램을 이용하여 생성된 데이터 파일인데, 이들은 네트워크 패킷 데이터를 포함한다.
이러한 파일은 주로 특정 데이터의 네트워크의 특성을 분서갛는데 사용된다.
pcap파일은 와이어샤크(네트워크를 분석하는 데 사용하는 프로그램)을 통해 분석할 수 있다.
이제 본격적으로 문제가 뭔지 살펴보고 풀어보겠다.
문제가 영어로 되어있으므로 영어를 못하는 나는 번역기를 통해 문제를 번역해 보겠다...
- 회사는 회사원 ANN이 스파이라고 의심하고 있다.
- ANN은 recipe에 접근권한이 있는데, 회사는 ANN에게 recipe를 빼앗길까봐 걱정하고 있다.
- 회사 무선랜에 낯선 IP가 접속(192.168.1.158)하였고, 이 IP에서 IM이라는 사람에게 파일이 전송되었다.
결론은 ANN이라는 사람은 recipe를 IM이라는 사람에게 전송하려는 거 같고
밑에 주어진 pcap파일을 통해 6문제를 풀면 된다!
1번문제 : 1. What is the name of Ann’s IM buddy? (IM의 이름은 무엇인가?)
패킷을 wireshark를 이용하여 열어본다.
문제 푸는 방법을 두가지를 알려주겠다.
먼저 첫번째 방법!
가장 먼저 나오는 TCP 프로토콜을 오른쪽 마우스 클릭-> Follow -> TCP 스트림을 클릭한다.
그리고 저기 Stream을 넘겨준다.
그러다 보면 저기 뭔가 수상한 글이 보인다. 뭔가 답같지 않은가?
사실 여기서 1,2,3번 모두 풀 수 있다.
1번문제 : 1. What is the name of Ann’s IM buddy? (IM의 이름은 무엇인가?)
- Sec558user1
2번문제 : 2. What was the first comment in the captured IM conversation? (캡쳐된 IM과의 대화에서 첫번째로 언급한 말은?)
- Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go>:-)
3번문제 : 3. What is the name of the file Ann transferred? (ANN이 전송한 파일 이름은?
- recipe.docx
두번째 방법은 문제에서 '회사의 무선랜에 192.168.1.158이라는 IP가 접속하여 IM에게 파일을 전송하였다'라고 한 것을 이용하는 방법이다.
위에 초록색 네모창(?)에 필터링 식들을 적으면 내가 원하는 패킷만 볼 수 있다. (엄청 유용하다)
- ip.addr == 192.168.1.158 //출발지나 목적지 IP주소로 검색
- IP 뿐만 아니라 포트번호 등도 이용하여 필터링 식을 적을 수 있다.
나중에 필요할 때 직접 찾아보자!
IP 192.168.1.158가 출발지이기 때문에 Sourc에서 해당 IP를 찾고, 파일을 전송할때는 주로 TCP 를 쓰기 때문에
Protocol에서 TCP를 찾는다.
그 다음 위의 첫번째 풀이 방법과 같이 오른쪽 마우스 클릭-> Follow -> TCP 스트림을 클릭한다.
그러면 바로 답을 확인할 수 있다!
남은 3문제도 풀어보도록 하겠다.
4번문제 : 4. What is the magic number of the file you want to extract (first four bytes)?
(추출할 파일의 매직넘버(처음 4바이트)는?)
추출할 파일? recipe.docx를 말하는 듯하다.
docx파일의 매직넘버(파일 시그니처)만 알면된다.
답은 50 4B 03 04 이다.
5번문제 : 5. What was the MD5sum of the file? (파일의 MD5 sum값은?)
해당 문제를 풀기 위해서는 먼저 recipe.docx를 복구해야한다.
- tcp contains recipe.docx //해당 파일을 포함한 tcp 필터링
이렇게 필터링 식을 적어주고 출발 IP주소와 프로토콜을 확인하여 해당 TCP stream을 연다.
(위에서와 동일하게 오른쪽 마우스 클릭-> Follow -> TCP 스트림을 클릭한다.)
그럼 이렇게 나오게 되는데, 아래의 Show and save data as를 RAW로 바꾸어 준다.
RAW로 바꾸어 주게 되면 이렇게 아까 우리가 찾았던 docx 파일의 시그니처가 보인다!
저기 파일 시그니처부터 마지막까지 server가 보낸 부분(파란색부분)만 복사한다.
그리고 HxD를 사용하여 recipe.docx로 저장해준다.
docx파일을 열어보면 recipe가 적혀있다.
여기서 의도치않게(?) 6번문제가 풀려버린다.
6번문제 : 6. What is the secret recipe? (recipe의 내용은?)
- 1 serving, ingredients, 4cups sugar, 2cups water
다시 5번문제로 돌아가서 파일의 MD5 sum값을 구해보자.
HxD에서 분석-> 체크섬 -> MD5를 클릭한다.
수락을 눌러주면 밑에 MD5 sum 의 값이 나온다.
5번문제의 답은
8350582774e1d4dbe1d61d64c89e0ea1 이다.
puzzle#1 다 풀었다! 사실 네트워크 마이너 라는 툴을 사용하면 더 쉽게 풀 수 있다. 기회가 된다면 그걸로도 풀어보겠다.