Digital Forensic Challenge 2018 AF100 문제 풀이

AF100 - Extract a password from the JPEG picture file 

 

 

간단히 해석을 해보면 아래와 같습니다.

 

산업 기밀 누설 사건의 조사관이고, 조사하는동안 의심스러운 이메일을 받았는데 유출된 기밀을 포함한 여러 정보가 있었는데, 암호에 대한 정보가 없었으나 첨부파일이 존재 했었고, 해당 첨부 파일에 암호에 대한 정보가 있을 것이라 생각한 조사관은 포렌식 분석을 하려고 한다.

 

첨부된 파일은 아래와 같이 yuna2.jpg 라는 파일입니다.

 

해당 사진을 EXIFTOOL로 메타데이터 부분을 찾아 보면 아래와 같습니다.

 

User Comment에 6gx{YVpR`J[#xZAb 라는 값이 있는데 사용자가 적어 둔 문자열 이기 때문에 나중에 필요할 것 같습니다.

 

Thumbnail Image가 있는것 처럼 보이는데 아래의 명령어로 썸네일 이미지를 extract 하고 분석을 해봤지만 아무런 정보를 얻을 수 없었습니다.

 

Copyright 를 보면 TrueCrypt 라는 문자열이 있는데 구글에 검색해 보면 오픈 소스 암호화 소프트 웨어 라는 것을 알 수 있습니다.

 

https://namu.wiki/w/TrueCrypt 를 확인해 보면 파일 형태의 암호화된 저장소(volume)를 만들 수 있고, 파티션을 통째로 암호화 하거나, 물리 하드 디스크 드라이브를 통째로 암호화가 가능한 프로그램이다 라고 이야기를 하고 있습니다.

 

yuna2.jpg 내부에 TrueCrypt로 암호화 한 파일이 있는것으로 판단이 됩니다.

그렇기 때문에 jpg 파일 구조를 파악 하면서 은닉되어있는 파일을 찾아 보도록 하겠습니다.

 

jpg 파일의 header signature와 footer signature를 보면 기본적으로 FF D8 / FF D9 입니다.

 

현재 파일의 구조를 좀보면 썸네일 파일이 있는 것을 감안해 보면 아래와 같습니다.

 

그렇기 때문에 FF D9 인 File Footer Signature 가 2개 여야 합니다.

 

 

첫번째 File Footer Signature : 0xDD2~0xDD3

 

 

두번째 Thumbnail Footer Signature : 0x11096~0x11097

 

두번째 Footer Signature 뒤에(0x11098 부터) 값이 더있습니다.

 

010 editor로 한번 확인해 보면 좀더 정확하게 알수 있습니다.

 

예상 대로 0x11098부터 unknownPadding 이라고 합니다.

길이는 0x64002 이라고 하기 때문에 확인해 보면 아래와 같습니다.

 

0x11098~0x75099 까지를 의미하는데 

 

파일의 끝까지 Padding 입니다.

해당 파일을 추출해서 TrueCrypt 에 넣어 보겠습니다.

 

로컬디스크 K에 아까 추출한 padding 파일을 마운트 해보겠습니다.

 

디스크를 열어보면 아래와 같습니다.

 

password.txt 파일을 열어보면 아래와 같습니다.

 

Password : 20!8f0ren$lc&