디지털포렌식 with CTF/Network Forensic (39) 썸네일형 리스트형 [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #3 #1번 문제에서 제공받은 evidence3.pcap 패킷 파일을 사용합니다. Ann의 관심사에 대한 정보, 즉 Ann이 검색한 최근 4개의 검색 내용을 알아보아야 합니다. 우선 패킷 파일을 와이어샤크로 열어보겠습니다. 와이어샤크 필터 기능을 통해 GET 방식을 사용한 HTTP 패킷들을 정렬하여 찾아보겠습니다. 위와 같이 http.request.method == "GET" 으로 필터링하면 필터 기능을 적용할 수 있습니다. 문제 원본에서 'incremental searches'라고 하였으므로 'incremental'이라는 문자열을 찾아보도록 하겠습니다. ctrl + f 검색 기능으로 incremental을 검색하고, 가장 아래서부터 URL을 찾아보겠습니다. URL을 보면 h, ha, hac, hack 순서로.. [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #2 1번 문제의 패킷을 사용하고, Apple TV의 HTTP 패킷을 확인해야 합니다. 그러믈 Apple TV의 IP 주소에 해당하는 HTTP 패킷을 확인해 보겠습니다. 가장 위에 있는 HTTP 패킷인 6번 패킷의 TCP Stream을 분석해 보겠습니다. TCP Stream에서 User-Agent 정보를 구할 수 있습니다. [네트워크 포렌식] Sans Network Forensic [Puzzle 3] #1 문제에서 evidence03.pcap 패킷 파일 하나를 줍니다. 와이어샤크로 열어보겠습니다. 문제에서 Ann이 192.168.1.10 주소를 사용한다고 했으므로, 패킷의 Source가 192.168.1.10인 패킷을 보면 됩니다. 위와 같이 Apple TV의 맥 주소를 구할 수 있습니다. [네트워크 포렌식] DefCoN 22 #4 이번에는 TwueLub.pcap 패킷 파일 하나가 주어집니다. 패킷 파일에는 위와 같이 STUN 프로토콜이 많이 보였습니다. STUN 프로토콜 하나를 지정하고 Follow UDP Stream 기능을 사용해 보겠습니다. 쭉 내리다보니 ip 주소와 함께 문자열이 나왔습니다. 힌트에서 @이 장치 이름과 사용되는 기호라고 했으니 위의 문자열이 flag가 될 것 같습니다. [네트워크 포렌식] DefCoN 22 #2 이번에는 FIFA22.pcap 패킷 파일을 줍니다. 와이어샤크로 패킷 파일을 열어보겠습니다. 패킷을 열어 보면 IRC 프로토콜로 송수신하는 것을 확인할 수 있습니다. IRC 패킷에서 Follow TCP Stream 기능을 사용해 보겠습니다. 위 사진과 같이 대화가 모두 암호화되어 있는 것을 확인할 수 있습니다. 하나하나 복호화를 진행하다 보면 위와 같은 base32로 암호화된 문자가 나오고, 또 이를 복호화하면 또 암호화된 문자가 나옵니다. 문자가 32개이므로 MD5로 암호화되었다고 추측할 수 있습니다. 위 문자열을 복호화하면 Caracas라는 도시가 나옵니다. 이렇게 답을 구할 수 있었습니다. [네트워크 포렌식] DefCoN 22 #1 DatSecrets.pcap 이라는 패킷 파일이 제공됩니다. 와이어샤크로 패킷 파일을 열어보겠습니다. SNMP 프로토콜이 많이 보이므로 SMB Object 기능으로 파일을 확인해 보겠습니다. 파일 목록을 보면 Documents.zip 폴더가 의심됩니다. Documents.zip 압축 파일의 압축을 풀면 위와 같이 나옵니다. 안에 docx 파일을 보면 base64로 암호화되어 있습니다. 파일의 내용을 하나하나 복호화하다 보면 사용자 이름 목록을 확인할 수 있습니다. 이와 같은 방법으로 목록의 두 번째 이름을 구할 수 있습니다. [네트워크 포렌식] DefCoN 21 #8 round8.pcap 패킷 파일이 주어지고, Greg을 누가 죽였는지 찾는 문제입니다. 와이어샤크로 열어 보면 RTP 프로토콜로 전송한 흔적이 많이 보입니다. RTP 프로토콜은 실시간으로 멀티미디어를 송수신할 때 흔히 사용됩니다. 와이어샤크의 Telephony 기능을 사용하여 RTP 프로토콜 패킷을 분석해 보겠습니다. Telephony 기능을 사용하면 위와 같이 음성 대화 내용을 들을 수 있습니다. 통화 내용에서 Greg을 살인한 사람이 누구인지 알아낼 수 있습니다. [네트워크 포렌식] DefCoN 21 #7 이번에도 round7.pcap 패킷 파일을 줍니다. 악의적인 웹페이지의 URL을 구하는 문제입니다. 와이어샤크의 HTTP Object 기능을 통해 URL을 찾아보도록 하겠습니다. 다른 bankofamerica 사이트와 달리 악의적인 웹페이지 하나를 발견할 수 있습니다. [네트워크 포렌식] DefCoN 21 #6 round6.pcap 파일이 주어지고 악성 페이로드의 용량을 찾으라고 합니다. 와이어샤크에서 패킷에 어떤 파일이 있나 보기 위하여 HTTP Object를 찾아보았습니다. 두 가지 파일이 나오는데, 위의 html 학장자의 파일이 의심스럽습니다. 위 파일을 저장해보겠습니다. 저장하자마자 윈도우 디펜더에서 바이러스를 감지하였습니다. 이를 통해 위의 html 확장자의 파일이 악성 코드를 보유한 파일이라는 점을 확인할 수 있습니다. 이와 같은 방법으로 악성코드에 감염된 파일의 크기를 구할 수 있습니다. [네트워크 포렌식] DefCoN 21 #5 이번에는 zip 압축파일이 주어집니다. 압축을 풀면 dump 폴더와 log 파일이 주어집니다. log 파일을 보니 안드로이드 로그인 점을 확인할 수 있습니다. 이외에 특별한 단서는 없습니다. dump 폴더로 들어가서 파일 하나씩 분석하다 보면 jpg 확장자를 가진 이미지 파일 하나를 찾을 수 있습니다. 정황상 위 남자가 Greg이고 사망한 것으로 추정됩니다. 위와 같은 방법으로 답을 구할 수 있습니다. 이전 1 2 3 4 다음
