728x90
반응형
A회사 보안팀은 내부직원 PC의 자체보안감사 중 특정직원 PC에서 인터넷을 통해 내부문서를 외부로 업로드 한 흔적을 발견하였다. 보안팀은 보안 위반 흔적을 더 찾기 위해 직원 스마트폰도 임의 제출을 받아 추가 흔적을 조사하였다. 내부문서의 정보를 찾아 정답을 입력하시오.
KEY Format : Upload Date&Time(UTC+09:00)_Modified Date&Time(UTC+09:00)_FileName.Extention_Filesize(LogicalFileSize)
ex)2013/03/01&21:00:00_2013/04/03&10:00:50_sample.docx_100MB
사용도구 : Plist Editor Pro v2.5 / FTK Imager / DB Browser for SQLite v3.10.1, Dcode v4.02
evidence.001 이미지 파일을 FTK Imager로 분석
-
NTFS 파일 내에 의심스러운 10개의 하위 폴더를 확인
유출된 내부문서로 추정되는 PDF 파일 확인
해당 디렉터리의 Dropbox 앱의 cache.db 파일을 extract
extract한 cache.db 파일을 DB Browser for SQLite로 open -> Browse Data 탭에서 plist 관련 파일 내용을 확인
-
plist 파일 : OS X, iOS 프로그래밍에 이용되는 객체 직렬화 파일이다. 사용자 설정이나 어플리케이션 정보 등이 저장된다.
tim_folder key의 data부분을 더블클릭하면 Base64로 인코딩된 내용을 확인할 수 있음
해당 텍스트를 복사하여 plist에 붙여넣고 List View 탭을 확인
해당 내용에서 pdf를 검색하니 S-Companysecurity.pdf 문자열을 찾을 수 있고 그 위로 두개의 NS.time이라는 시간정보로 보이는 항목과 NS.string 아래 2.1MB 문자열을 통해 파일 크기도 확인
추가적인 시간 정보 확인을 위해 Dropbox.sqlite 파일을 분석
ZMODIFIEDDATE / ZPATH 컬럼 내용으로 S-Companysecurity.pdf 파일의 업로드 시간을 확인할 수 있다.
plist 분석 내용과 조합하면,
357554798.000000이 수정시간이고(업로드 전), 378291354.000000이 업로드 시간임을 알 수 있다. -> ZMODIFIEDDATE는 업로드 시간
Dcode 프로그램을 이용하여 문제에서 요구하는 UTC +09:00의 시간을 확인
-
업로드 시간
-
수정 시간
KEY Format : Upload Date&Time(UTC+09:00)_Modified Date&Time(UTC+09:00)_FileName.Extention_Filesize(LogicalFileSize)
KEY Format : 2012/12/27&17:55:54_2012/05/01&17:46:38_S-Companysecurity.pdf_2.1MB
반응형
'DFIR > Challenge' 카테고리의 다른 글
디지털포렌식 with CTF - [DISK Forensic] 06 (0) | 2020.01.15 |
---|---|
디지털포렌식 with CTF - [DISK Forensic] 07 (0) | 2020.01.15 |
디지털포렌식 with CTF - [DISK Forensic] 08 (0) | 2020.01.14 |
디지털포렌식 with CTF - [DISK Forensic] 10 (0) | 2020.01.10 |
디지털포렌식 with CTF - [DISK Forensic] 11 (0) | 2020.01.10 |