forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim
Puzzle #1: Ann’s Bad AIM – Network Forensics Puzzle Contest
Anarchy-R-Us, Inc. suspects that one of their employees, Ann Dercover, is really a secret agent working for their competitor. Ann has access to the company’s prize asset, the secret recipe. Security staff are worried that Ann may try to leak the company�
forensicscontest.com
* 문제
Anarchy-R-Us, Inc.는 Ann(회사 상급 자산 액세스 가능)이 비밀요원이라고 생각한다.
보안 요원들은 Ann을 한동안 감시했지만 의심스러운 점은 발견하지 못하던 중, 예상치 못한 laptop이 회사 무선 네트워크에 잠깐 나타났다. Ann의 컴퓨터(192.168.1.158)는 무선 네트워크를 통해 컴퓨터로 IM을 보냈고, 그 후 rogue laptop은 사라졌다.
법의학 수사관인 나는 보안직원이 가지고 있는 '활동에 대한 패킷 캡처'를 통해서 6가지 증거를 복구해야 한다.
사용 툴: Wireshark, HxD
1. What is the name of Ann's IM buddy?
① Ann의 IP(192.168.1.158)로 Source IP 필터링
② 필터링 된 패킷 중 제일 처음 TCP Stream 확인
Ann의 IM buddy 이름은 Sec558user1
2. What was the first comment in the captured IM conversation?
Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go >:-)
(1번 풀이과정에서 확인 가능) + >는 >
3. What is the name of the file Ann transferred?
recipe.docx
(1번 풀이과정에서 확인 가능)
4. What is the magic number of the file you want to extract (first four bytes)?
magic number는 시그니처
.docx파일의 magic number는 0x 50 4B 03 04
5. What was the MD5sum of the file?
① recipe.docx 파일이 들어간 패킷 필터링
② TCP Stream으로 해당 tcp 패킷 내용 확인
③ 해당 패킷을 raw데이터로 바꾼 후 save as -> .docx의 magic number가 50 4B 03 04 인 것도 확인 가능
④ PK가 가장 먼저 나와야 하기 때문에 위에 불필요한 부분(OFT2~PK전) 삭제 + 파일 뒤에 불필요한 부분(OFT2~)도 삭제
⑤ 분석 -> 체크섬 -> MD5로 MD5 체크섬(8350582774E1D4DBE1D61D64C89E0EA1) 확인
6. What is the secret recipe?
복구한 파일인 .docx파일 열어서 확인 가능!
공부하면서 학습 목적으로 작성한 포스팅이므로 내용이 완전하지 않습니다ㅠ
계속해서 학습 후 지식이 좀 더 쌓이면 수시로 수정해나갈 예정입니다!
틀린 내용은 둥글게 댓글 달아주시면 빠른 확인 후 수정하겠습니다. :)
참고
'보안 > Puzzles!' 카테고리의 다른 글
| Puzzle #2: Ann Skips Bail (0) | 2020.09.11 |
|---|
댓글