Puzzle #1: Ann’s Bad AIM 문제풀이 (네트워크 포렌식)

http://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim

Puzzle #1: Ann’s Bad AIM – Network Forensics Puzzle Contest

[문제]

보안 직원은 경쟁사 스파이로 의심되는 직원 Ann의 행동을 관찰하고 있지만 딱히 의심스러운 움직임이 없던 차,

알 수 없는 컴퓨터가 회사 네트워크에 잠깐 나타났는데 Ann의 컴퓨터(192.168.1.158)가 거기에다 IM(=instant messaging)을 보냈다고 한다

나는 법의학 수사관이고, 그 당시의 패킷 캡쳐를 가지고 증거 6개를 찾아내야 한다

 

1. What is the name of Ann’s IM buddy?

앤의 채팅 상대 이름을 알아내라고 하네요

일단 파일을 열어봅시다

 

채팅 이름을 찾기 위해 tcp stream을 뒤졌습니다

Analyze->follow->tcp stream으로 stream번호를 하나씩 올리면서 메시지를 봄

2번 스트림부터 이름이 등장

Here's the secret recipe.. recipe.docx를 보냈고.. 비밀 레시피를 이베이에 팔겠다ㅋㅋ

맥락상 E4628778이 앤이고 Sec558user1이 상대방이겠네요

 

이렇게 추측 말고 더 확실하게 보려면

대화 내용 중 하나를 Decode As로 열어봄

tcp port 443번 체크해주고 AIM메시지로 디코드

 

그러면 버디 이름이 Sec558user1인 것을 확인할 수 있다

 

답은 Sec558user1

 

2. What was the first comment in the captured IM conversation?

캡쳐된 IM 대화에서 첫 번째 대화는?

TCP steam에서 다 볼 수 있음

 

또는 필터링 aim.buddyname

답: Here's the secret recipe

 

 

3. What is the name of the file Ann transferred?

앤이 전송한 파일의 이름은?

 

aim_messaging.channelid==2

답: recipe.docx

 

 

4. What is the magic number of the file you want to extract (first four bytes)?

추출하려는 파일의 매직 넘버(처음 4바이트)는?

매직 넘버=파일 시그니처

recipe.docx의 시그니처를 찾으라는 질문

물론 docx는 이렇지만.. 확실히 하기 위해서 HxD에 넣어봅시다

TCP stream 중에 recipe.docx 파일 부분만 raw로 Save as

 

HxD로 불러왔음 docx는 PK..로 시작한다

 

답: 50 4B 03 04

 

 

5. What was the MD5sum of the file?

HxD 체크섬 구하는 기능을 쓸 건데 그 전에 PK전에 붙어있는 헤더들을 없애준다

그리고 HxD->분석->체크섬->MD5

그렇읍니다

 

답: 8350582774E1D4DBE1D61D64C89E0EA1

 

 

6. What is the secret recipe?

다른 이름으로 저장->docx파일로 확장자 바꿔서 저장

 

답:

Recipe for Disaster:

1 serving

Ingredients:

4 cups sugar

2 cups water

In a medium saucepan, bring the water to a boil. Add sugar. Stir gently over low heat until sugar is fully dissolved. Remove  the  saucepan from heat.  Allow to cool completely. Pour into gas tank. Repeat as necessary.