본문 바로가기
보안/Puzzles!

Puzzle #2: Ann Skips Bail

by yeni03o_o 2020. 9. 11.

forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail

 

Puzzle #2: Ann Skips Bail – Network Forensics Puzzle Contest

After being released on bail, Ann Dercover disappears! Fortunately, investigators were carefully monitoring her network activity before she skipped town. “We believe Ann may have communicated with her secret lover, Mr. X, before she left,” says the pol

forensicscontest.com


* 문제

Ann이 보석으로 석방된 후에 사라졌다! 수사관은 Ann이 마을을 떠나기 전에 Ann의 네트워크 활동을 감시하고 있었다.

경찰서장은 Ann이 Ann의 비밀 애인 X와 통신했을 거라고 생각하고, Ann의 소재에 대한 단서를 잡을 수 있도록 패킷 캡처를 했다. 

법의학 수사관인 나는 Ann이 이메일을 보내고 어디로 갔는지 파악하고 증거 8개를 복구해야 한다.

사용 툴: Wireshark, HxD

 

1. What is Ann's email address?

① email 주소를 찾아야 하니 email과 관련된 Protocol인 STMP 필터링 후 TCP Stream 실행

FROM: <sneakyg33k@aol.com> 이므로 

Ann의 email 주소는 sneakyg33k@aol.com

 

2. What is Ann's email password?

① SMTP는 Base64 인코딩 방식을 사용하므로 해당 부분 Base64 디코딩

② Base64 디코딩 완료

VXNlcm5hbWU6 Username:
c25lYWt5ZzMza0Bhb2wuY29t sneakyg33k@aol.com
UGFzc3dvcmQ6 Password:
NTU4cjAwbHo= 558r00lz

Ann의 email PW는 558r00lz

 

3. What is Ann's secret lover's email address?

① SMTP로 검색하여 TCP Stream을 보면 stream이 2개밖에 없다ㅎ(0,1) 결국 2개만 확인하면 된다!

② Stream0은 <sec558@gmail.com>에게 보낸 다음 주에 점심을 못 먹는다는 내용의 email이다.

 

Stream1은 Ann이 <mistersecretx@aol.com>에게 보낸 가짜 여권과 수영복을 가지고 첨부된 파일의 장소에서 만나자는 내용의 email이다. 

sweetheart나 love, Ann과 같은 내용을 볼 때 이 친구가 Ann의 비밀 애인 X가 틀림없다!

 

4. What two items did Ann tell her secret lover to bring?

fake passport(가짜 여권)과 bathing suit(수영복)

(3번 풀이과정을 통해 확인 가능)

 

5. What is the NAME of the attachment Ann sent to her secret lover?

Stream1에서 filename="secretrendezvous.docx"를 확인할 수 있다.

 

6. What is the MD5sum of the attachment Ann sent to her secret lover?

secretrendezvous.docx가 첨부된 tcp.stream eq1을 HxD로 열어서 앞뒤 필요 없는 부분들을 다 잘라준다.

파일의 시작: UEsDB~ / 파일의 끝: ~AAAA

 

② HxD로 자른 내용은 디코딩이 필요!

양이 굉장히 많으니  'www.motobit.com/util/base64-decoder-encoder.asp' 를 이용하여 디코딩하여 바이너리 파일로 만든다.

 

③ 생성된 base64.bin파일을 HxD로 열어보면 .docx의 header 시그니처인 PK를 확인할 수 있다.

 

④ MD5 체크섬 확인

.docx의 MD5sum은 9E423E11DB88F01BBFF81172839E1923

 

7. In what CITY and COUNTRY is their rendez-vous point?

① 첨부파일이 .docx이므로 확장자를 디코딩된 .bin파일의 확장자를 .docx로 바꿔 재저장

하지만, 나는 디코딩 전 secretrendezvous.docx파일에 디코딩 된 .bin파일의 내용을 '붙여넣기 삽입'으로 덮어썼다ㅎ 파일 하나 더 파기 귀찮아..

secretrendezvous.docx파일 오픈하여 답 확인! Playa del Carmen, Mexico

 

8. What is the MD5sum of the image embedded in the document?

① .docx속에서 png를 추출해내야 하므로 secretrendezvous.docx 복사본을 하나 더 만들었다. (섣불리 행동하다 망할 수있으므로.. 언제나 백업은 필수다!)

② .docx속의 png를 추출해내기 위해 png의 header signature와 footer signature 알아본다.

③ header signature와 footer signature 기준으로 앞뒤 쓸모없는 부분을 삭제한다.

header signature 앞에 삭제
footer signature 뒤에 삭제

④ MD5 체크섬 확인

.png의 MD5sum은 AADEACE50997B1BA24B09AC2EF1940B7

 


 

문제를 좀 더 쉽게 풀 수 있는 방법을 찾았다!!!!!

STMP stream을 Outlook과 같은 메일 에이전트 S/W로 열어볼 수 있는 .eml로 저장하는 방식!

sec558@gmail.com에게 보낸 메일
sweetheart♡에게 보낸 메일ㅋㅋㅋㅋㅋㅋㅋ 

 

첨부파일 확인도 가능하다.

 


 

공부하면서 학습 목적으로 작성한 포스팅이므로 내용이 완전하지 않습니다ㅠ 
계속해서 학습 후 지식이 좀 더 쌓이면 수시로 수정해나갈 예정입니다! 
틀린 내용은 둥글게 댓글 달아주시면 빠른 확인 후 수정하겠습니다. :)


참고

* forensic-proof.com/archives/323

* forensic-proof.com/archives/300

* blog.naver.com/PostView.nhn?blogId=is_king&logNo=221530188147

'보안 > Puzzles!' 카테고리의 다른 글

Puzzle #1: Ann's Bad AIM  (0) 2020.09.11

댓글