반응형
X 회사의 재정 정보를 훔치기 위해서 IU는 비밀리에 직장을 구했다. 그녀는 CFO의 컴퓨터를 공격하기로 결정한 후 사회 공학적 방법으로 악의적인 악성코드를 자신의 컴퓨터로 삽입하기로 결정했다. 그녀는 CFO가 퇴근할 때 컴퓨터를 끄지 않는다는 것을 알아냈다. CFO가 사무실에서 나간 후, 그녀는 CFO의 컴퓨터에서 재무자료를 얻고 EXCEL 파일을 검색한다. 그녀는 설치된 응용 프로그램을 확인해서 파일에서 정보를 찾을 수 있었다. 모든 추적을 제거하기 위해 그녀는 악성코드, 이벤트 로그 및 최근 파일 목록을 지웠다. X 회사는 적절한 조치를 취하기 위해 그녀가 어떤 정보를 훔쳤는지 밝혀야 한다. 이 파일들은 CFO의 컴퓨터에서 공격받은 파일들이다. 그녀가 훔친 파일의 전체 경로와 파일의 크기를 찾아라. 그 날 CFO는 14:00시에 사무실을 떠났다. 시간은 한국 표준시 (UTC + 09:00)를 기준으로 한다.
KEY Format : strupr(md5(full_path|file_size)) (‘|’ 는 문자일 뿐이다.)
file 확장자 부재로 인하여 시그니처를 확인하기 위해 HxD 툴로 파일을 열어 시그니처를 확인(리눅스 file 명으로도 확인 가능)
확장자가 7z 압축파일임을 확인
-> 확장자 지정 및 압축해제
압축해제한 Users 폴더 아래의 폴더 및 파일들은 CFO 컴퓨터의 윈도우 사용자 폴더를 그대로 압축한 것임을 알 수 있다.
범인이 CFO 컴퓨터에서 열어본 excel 파일의 흔적을 찾아보자.문서파일의 링크파일 정보가 담긴 폴더로 이동
Users\사용자명\AppData\Roaming\Microsoft\Office\Recent
-
해당 폴더에서 proneer가 사용자명으로 추측됨
-> Top-Secret 2011 Financial deals 라는 재무관련 링크파일을 확인
이 링크파일을 분석하기 위해서 'LNK Parser.exe' 프로그램을 이용하여 분석
link parser 프로그램 분석을 통해 원본파일의 위치를 확인하였다.
디지털포렌식 with CTF
COUPANG
www.coupang.com
|
C:\INSIGHT\Accounting\Confidential\[Top-Secret]_2011_Financial_deals.xlsx
파일크기 : 9296 Bytes
|
파일의 전체경로(full path) 와 파일크기를 확인하였으니 문제에서 요구하는 key format에 맞게 치환한다.
KEY Format : strupr(md5(full_path|file_size))
-> Python code를 작성
import re
from hashlib import *
md5("C:\INSIGHT\Accounting\Confidential\[Top-Secret]_2011_Financial_deals.xlsx|9296".encode('utf-8')).hexdigest().lower()
'd3403b2653dbc16bbe1cfce53a417ab1'
또는
import hashlib
>>> m = hashlib.md5("C:\INSIGHT\Accounting\Confidential\[Top-Secret]_2011_Financial_deals.xlsx|9296".encode('utf-8'))
>>> m.hexdigest()
'd3403b2653dbc16bbe1cfce53a417ab1'
>>>
key = d3403b2653dbc16bbe1cfce53a417ab1
반응형
'DFIR > Challenge' 카테고리의 다른 글
| 디지털포렌식 with CTF - [NETWORK] chapter01_4 (0) | 2020.01.19 |
|---|---|
| 디지털포렌식 with CTF - [NETWORK] chapter01_5 (0) | 2020.01.18 |
| 디지털포렌식 with CTF - [DISK Forensic] 02 (0) | 2020.01.17 |
| 디지털포렌식 with CTF - [DISK Forensic] 03 (0) | 2020.01.17 |
| 디지털포렌식 with CTF - [DISK Forensic] 04 (0) | 2020.01.16 |