LMG Network Forensic puzzle contest 1번

1. 시나리오 

 

회사 내 직원 중 Ann 이라는 사람이 경쟁사의 스파이 요원으로 의심되는 상황이다. 앤의 직책상 회사의 중요 자산인 비밀 제조법에 접근 권한이 있는 상태이기 때문에 사내 보안직원은 앤이 회사의 비밀 제조법을 유출하려고 할지도 모른다고 우려하고 있는 상황이다.

 

하지만 앤을 계속 주시해도 아직까지는 의심스로운 행동을 발견하지 못했다. 그러던 중 오늘 예기지 않은 노트북이 회사의 무선 네트워크에 잠깐 나타났다가 사라졌다. 보안직원은 현재 사내 보안기능이 패킷 캡처 기능을 갖추고 있기는 하지만 그걸 사용할 수 있는 직원이 없는 상태이다

 

따라서 법의학 수사관인 나에게 Ann이 누구가와 AIM 메신저로 주고받은 내용을 알아내고 증거를 수집하는 임무가 주어 졌다.

 

* 주어진 조건 : Ann의 아이피(192.168.1.158), pcap파일

 

 

2. 수집할 증거들

 

1) 앤의 메신저 아이디

2) 캡처한 대화 중 첫번째 대화

3) Ann이 전송 한 파일의 이름

4) 추출 할 파일의 매직 넘버

5) 파일의 MD5값

6) 비밀 제조법 내용

 

3. 문제풀이

 

1) 앤의 메신저의 아이디

앤의 아이피로 필터링을 걸어서 앤이 주고받은 패킷을 확인한다.
AIM 메신저의 서버는 SSL 세션을 성립하고 암호화 통신을 제공한다. 현재 패킷파일에서 SSL 통신이 보인다. 원래대로라면 SSL 통신은 암호화가되어 주고받은 데이터를 읽기가 불가능하지만 현재 와이어샤크내에서 일부 복호화를 통해 내용이 보인다.

 

그림 1

 

TCP 스트림을 확인해보면 제조법 구매자와 주고받은 내용이라고 유추 가능하며 앤의 아이디는 Sec558user1 이라고 추정된다.

 

정답 : Sec558user1

 

 

 

2) 캡처한 대화 중 첫번째 대화

 

이 역시 아이디 다음에 나오는 문자열로 대화의 첫 시작을 확인 가능하다. (그림 1)

 

정답 : Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go

 

 

3) Ann이 전송 한 파일의 이름

 

이역시 그림 1 에서 확인 가능하다. 아마도 제조법 파일의 이름은 recipe.docx 인것 같다.

 

정답 : recipe.docx

 

 

4) 추출 할 파일의 매직 넘버

 

.docx 파일의 시그니처, 즉 매직넘버 4바이트는 50 4B 03 04 이다

 

정답 : 50 4B 03 04

 

그림 2

 

그림 3

 

 

해당 스트림을 hex값으로 변경시키면 중간쯤에 파란색으로 되어있는 PK.. 의 시작점이 보인다. 이 부분이 바로 앤이 보내는 .docx 문서 부분이다. 따라서 이부분만 잘라내어 .docx 확장자로 저장을 하면 된다.

 

그림 4

 

주의 해야 할 것은 해당 내용을 가져올때 raw 데이터로 변경한뒤 저장을 해야한다.

 

그리고 그림 3 을 보면 PK가 나오기전 위 쪽을 보면 OFT2 라는 부분이 있고 또 해당 스트림의 맨 마지막을 보면 OFT2가 또있다.

 

그림 5

 

AIM 메신저 프로토콜은 메시지를 주고받을 떄 OFT2 블록이란 개념으로 패킷을 처리한다고 한다.

 

따라서 저 앞 뒤의 OTF2 부분을 잘라줘야 한다는 뜻이다.

 

 

5) 파일의 MD5sum값

 

MD5sum이란 

MD5 체크섬 원리

원래 MD5는 단방향 암호화 기법이다. 복잡한 설명은 자르고, MD5 함수는 수학적으로 엄청 복잡한 알고리즘을 돌려서, 어떤 값을 집어넣어도 위처럼 졸라 복잡한 32개의 문자열로 변환해서 뽑아 준다. 그리고 같은 값을 넣으면 반드시 같은 값이 반환되며, 서로 다른 값을 넣었을 때 같은 값이 반환될 확률은 지극히 적다고 한다.

그리고 저걸 풀려면 졸라 오래 걸린다고 한다.(처음에 만들었을 때는 암호를 풀려면 당시 컴퓨터로 50년 넘게 걸렸다고 하는데, 요새는 암호가 짧을 경우 금세 풀린다고 한다.)
단방향 암호화기 때문에 암호를 쉽게 풀 수 있는 키 같은 건 존재하지 않는다. 무조건 모든 값을 넣어보는 수밖에 없다.

여튼간에, MD5가 가진 위와 같은 특성 중, 같은 값을 집어넣으면 반드시 같은 값을 반환하게 돼 있는 특성을 이용해 파일에 손상이 있는지를 확인하는 게 바로 MD5 체크섬이다. (= md5sum)

 

따라서 추출한 문서를 다음의 명령어를 통해 md5sum 값을 확인할 수 있다.

 

그림 6

 

6) 비밀 제조법 내용

 

문서를 확인하면 된다.

 

그림 7

 

 

** 추가적으로 NetworkMiner 프로그램을 사용하면 손쉽게 파일 탐지가 가능하다고 한다.. 이것도 사용해봐야겠다.