본문 바로가기
Forensic/wargame & ctf

[ctf-d] DefCoN#21 #2

ukkiyeon 2022. 3. 1. 19:44

round2.pcap

 

 

이번 문제도 대화 내역이 중요할 거라고 생각되어, 우선 DefCoN#21 #1을 풀었을 때처럼 IRC 프로토콜을 찾아보았지만

Message to D34thM3rch4nt(이전 문제를 보면 이 사람이 Greg인 것 같다 ..!) blocked: Please find another way to transfer your file 이외에 다른 특별한 점은 찾을 수 없었다.

 

 

검색을 해보니, NetworkMiner라는 도구를 사용하면 유용하다고 한다.

 

 

NetworkMiner

- Windows용 오픈 소스 NFAT(Network Forensic Analysis Tool) (but also works in Linux / Mac OS X / FreeBSD)

- 운영 체제, 세션, 호스트, 열린 포트 등을 감지하기 위해 수동 네트워크 스니퍼/패킷 캡처 도구로 사용 가능

- PCAP 파일을 분석하거나 네트워크에서 직접 트래픽을 스니핑함으로써, 전송 파일, 이메일, 인증서를 추출 가능

- 사용자 인터페이스에서 추출된 아티팩트를 제공하여 향상된 NTA(Network Traffic Analysis)를 쉽게 수행 가능

- 웹 사이트에서 네트워크를 통해 스트리밍되는 미디어 파일을 추출하고 저장하는데 사용되기도 함

- 참고 https://www.netresec.com/?page=NetworkMiner 

 

 

처음 실행 화면

 

 

round2.pcap 파일을 NetworkMiner에서 열어보았다. 

호스트, 세션 등의 정보나 복구된 여러 이미지 파일 등을 확인할 수 있었는데, 우선 대화 내역을 확인하기 위해 Messages 탭을 들어가보았다.

 

 

정말 많은 정보들을 확인할 수 있었다 .....!

첫번째 메시지를 보면, Betty가 Greg에게 S3cr3tVV34p0n이라는 패스워드를 전송하였고,

 

 

두번째 메시지는 Greg의 응답이었고, 

 

 

마지막 메시지에서 조금 이상한 점을 찾을 수 있었는데, IRC 프로토콜과 연관이 있는 것 같다.

 

 

DCC (Direct Client-to-Client)

- IRC와 관련된 하위 프로토콜로, 파일을 교환할 때 사용

- 단말기 대 단말기 통신을 위해 사용되는 프로토콜

- 형식: DCC SEND [파일 이름] [IP] [PORT] [파일 크기]

 

→ 파일 이름 : r3nd3zv0us

→ IP : 2887582002

→ PORT : 1024

→ 파일 크기 : 819200byte

 

→ 즉, 819200byte의 r3nd3zv0us라는 파일을 1024번 포트를 통해 보냈다는 것을 알 수 있다.

 

해당 파일을 찾기 위해, 와이어샤크에서 1024번 포트에 대해 TCP Stream을 Follow했다.

Follow - TCP Stream

TCP Stream에서 819KB(819200byte) 크기의 파일을 선택하고, data를 Raw로 설정한 후, 저장한다. 

 

 

저장한 파일의 내부를 봤을 때, 해당되는 파일 시그니처는 존재하지 않았다.

또한 비밀번호와 관련된 파일이기 때문에, 파일마다 시그니처가 다른 TrueCrypt로 암호화된 것으로 추측된다.

 

TrueCrypt

- 오픈 소스 암호화 소프트웨어. 파일 형태의 암호화된 저장소(volume)를 만들 수 있고 파티션을 통째로 암호화하거나 물리 HDD를 통째로 암호화할 수 있다.

- 실시간 파일 암호화(on-the-fly encription)를 지원하는 응용 소프트웨어. 파일 내부나 디스크 파티션에 가상의 암호화 디스크를 생성함.

 

아까 와이어샤크에서 카빙하고 저장한 파일을 TrueCrypt로 열어보았다.

아까 찾은 패스워드 입력

 

마운트된 가상의 디스크에 가보면, 이미지와 복호화된 메시지를 확인할 수 있다.

해결!

 

 

참고

https://these-dayss.tistory.com/163

https://heewon9809.tistory.com/36

https://jdh5202.tistory.com/694

https://namu.wiki/w/TrueCrypt

https://ko.wikipedia.org/wiki/%ED%8A%B8%EB%A3%A8%ED%81%AC%EB%A6%BD%ED%8A%B8

'Forensic > wargame & ctf' 카테고리의 다른 글

[Suninatas] 21  (0) 2022.03.28
[ctf-d] broken  (0) 2022.03.14
[ctf-d] DefCoN#21 #1  (0) 2022.02.19
[ctf-d] Find Key(Image)  (0) 2022.02.15
[ctf-d] 오른쪽 위의 표지판을 읽을 수...  (0) 2022.02.13

'Forensic/wargame & ctf' Related Articles

티스토리툴바