ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • [Forensic] Level 29 [266pt]
      $ Wargame $/$ Suninatas $ 2019. 8. 19. 14:02

       

      이제 진짜 포렌식 다운 문제가 나온 것 같다. (필자는 이런 디스크 포렌식 및 메모리 포렌식을 더 좋아한다.!)

       

      파일을 다운 받아서 HxD를 열어보겠습니다.

       

      EGG 파일 포맷이 있는거로 보아 .egg 압축파일 이라는 것을 알 수 있습니다.

       

      VM Ware 환경이 압축되어 있었습니다.

       

      그렇다면 이미지 파일인 .vmdk 파일을 가지고 분석을 시작해 보겠습니다.

      분석을 할때에는 이미지 분석도 하기 쉽고 추출도 하기쉬우며 Hex값까지 확인 할 수 있는 WinHex를 이용하도록 하겠습니다.

       

       

      먼저 첫번째 문제가 웹 서핑은 잘되는데 네이버만 들어가면 사이버 경찰청 차단 화면으로 넘어간다고 합니다.

      해당 문제점은 dns가 문제 있거나, hosts 파일을 조작해서 다른 사이트로 리다이렉트 되는 문제 입니다.

       

      hosts파일을 먼저 찾아 보겠습니다.

      경로는 다음과 같습니다. C:\Windows\System32\drivers\etc\에 위치 합니다.

       

       

      파일을 우클릭 후 Recover/Copy 기능을 통해서 추출해 보도록 하겠습니다.

       

      첫번째 문제의 key 값이 보입니다.

       

      Key1 : what_the_he11_1s_keey

       

      두번째 문제는 설치 해놓은 키로거의 절대 경로 파일 및 파일명은 무엇인가? 라는 문제입니다.

       

      일단 키로거를 찾아야 하는데 수상한 폴더가 존재 합니다.

       

      v196vv8이라는 폴더가 좀 수상합니다.

       

      아래의 exe 파일이 매우 수상합니다. 두개중 파일의 크기가 더 큰 v1tvr0.exe 가 키로거 입니다.

       

      key2 : C:\v196vv8\v1tvr0.exe

       

      그리고 위에 v1valv 라는 폴더가 수상한 이름을 하고 있습니다.

      안에 다양한 파일이 있는 것으로 보아 무언가가 있는것이 틀림 없습니다.

       

      아마 4번 문제인 키로거를 통해 알아내고자 했던 내용은 무엇인가? 에 대한 답변일 가능성이 높다.

       

      추출해서 데이터를 하나씩 확인해 보겠습니다.

       

      의미 없는 값입니다.

       

       

      이것도 의미 없는 값 입니다.

       

       

      툭정 서버가 파일에 접근을 했었다는 것을 추측 할 수 있습니다.

       

       

      !!!! z1.dat 파일에서 4번 문제의 key  값을 찾을 수 있었습니다.

       

      key4 : blackkey is a Good man

       

      ss 폴더 안에 사진이 있는데 사진들을 찾아 보면 확실히 키로거의 이름을 알수 있습니다.

      프로세스가 돌아가고 있고 Strings로 값이 저장되고 있는 사진을 확인 할 수 있었습니다.

       

      그러면 이제 나머지 한문제인 3번 키로거가 다운로드 된 시간은? 이라는 문제가 남았습니다.

       

      해당문제는 인터넷으로 다운 받았을 것이라 생각이 되기 때문에 WebCacheV(01 | 24).dat  파일에 저장이 되는데 해당 이미지 파일에는 WebCachV(01 | 24).dat 파일 대신에 index.dat 파일이 있습니다.

       

      [그 이유는 IE 10 이상부터 모든 인터넷 로그는 %Localappdata%\Microsoft\Windows\Webcache 폴더 안에 있는 WebCacheV01.dat 파일에 저장됩니다.]

       

       

      경로는 다음과 같습니다.!

      <%UserProfile%\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat 입니다

       

      index.dat 파일은 분석할때 index.dat analyzer 툴을 사용해야 합니다.

       

       

      키로거 프로그램은 .exe 파일이기 때문에 .exe가 포함된 문자열을 출력하기 위해 필터링을 걸었습니다.

       

       

      키로거 프로그램은 2016-05-24_04:25:06에 다운로드를 받았습니다.

       

      key3 : 2016-05-24_04:25:06

       

      이제 키 4개를 전부 이어 붙여서 md5해시값을 만들어 보겠습니다.

       

      md5(what_the_he11_1s_keeyc:\v196vv8\v1tvr0.exe2016-05-24_04:25:06blackkey is a Good man)

       

       

       

      Authkey : 970f891e3667fce147b222cc9a8699d4

       

       

       

      '$ Wargame $ > $ Suninatas $' 카테고리의 다른 글

      [Forensic] Level 31 [200pt]  (0) 2019.08.19
      [Forensic] Level 30 [366pt]  (0) 2019.08.19
      [Forensic] Level 28 [200pt]  (0) 2019.08.19
      [Forensic] Level 26 [200pt]  (0) 2019.08.19
      [Forensic] Level 21 [221pt]  (0) 2019.08.19

      관련글 관련글 더보기

      댓글

    Designed by Tistory.

    티스토리툴바