먼저 round2.pcap 패킷 파일이 제공됩니다. 와이어샤크로 열어보겠습니다.
conversations 기능으로 통신 기록을 보면, 1024 포트로 패킷이 전송된 걸 확인할 수 있습니다.
이 기록을 분석하기 위하여 Follow Stream 기능을 사용하면, 아래와 같이 암호화된 내용으로 알아볼 수 없습니다.
패킷에 존재하는 파일들을 카빙해서 정렬해주는 NetworkMiner 프로그램을 사용하여 추가적인 정보를 분석해 보겠습니다.
NetworkMiner의 Messages 항목을 보면 Betty와 Gregory가 주고받은 메세지가 나옵니다.
Greg이 Betty에게 보낸 패스워드입니다.
다른 메세지를 보면 DCC SEND 프로토콜을 사용하여 파일을 전송한 내용이 있습니다.
해석해보면 DCC SEND 방식을 사용해 r3nd3zvous 파일을 1024 포트로 전송했다는 의미입니다.
1024번 포트는 위에서 와이어샤크로 분석한 패킷이니 다시 와이어샤크에서 1024 포트로 전송한 패킷을 저장하겠습니다.
저장한 패킷은 헤더 시그니쳐가 존재하지 않고, password와 연관된 파일이므로 TrueCrypt로 암호화된 파일이라고 추측할 수 있습니다.
TrueCrypt에서 추출한 파일을 선택하고, 마운트를 해보겠습니다.
패스워드를 입력하라고 나옵니다. 아까 메세지에서 확인한 비밀번호를 입력해보도록 하겠습니다.
비밀번호를 정확하게 입력하면 위와 같이 마운트가 진행되고, 마운트된 드라이브를 열 수 있습니다.
마운트된 드라이브에는 Betty의 편지와 함께 라스베거스의 사진이 있습니다.
이렇게 두 사람이 만나는 장소를 알아낼 수 있었습니다.
'디지털포렌식 with CTF > 네트워크 포렌식 (Network)' 카테고리의 다른 글
| [네트워크 포렌식] DefCoN 21 #5 (0) | 2020.11.19 |
|---|---|
| [네트워크 포렌식] DefCoN 21 #4 (0) | 2020.11.19 |
| [네트워크 포렌식] DefCoN 21 #1 (0) | 2020.11.16 |
| [네트워크 포렌식] 때로는 정답이 바로 나타나지만… (0) | 2020.11.16 |
| [네트워크 포렌식] 당신이 플래그를 찾을 수 있을까? (0) | 2020.11.16 |
