[Sans Forensic Contest Puzzle #2] 문제풀이

Sans Forensic Contest Puzzle #2

 

문제 링크 : http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail

Puzzle #2: Ann Skips Bail – Network Forensics Puzzle Contest

 

시나리오 : 

 

After being released on bail, Ann Dercover disappears! Fortunately, investigators were carefully monitoring her network activity before she skipped town.

 

“We believe Ann may have communicated with her secret lover, Mr. X, before she left,” says the police chief.

 

“The packet capture may contain clues to her whereabouts.”

 

요약 :

Ann은 떠나기 전 비밀 애인 X씨와 대화를 나누었고 주어진 패킷에 단서가 있다.

 

문제 : 

1. What is Ann’s email address?

2. What is Ann’s email password?

3. What is Ann’s secret lover’s email address?

4. What two items did Ann tell her secret lover to bring?

5. What is the NAME of the attachment Ann sent to her secret lover?

6. What is the MD5sum of the attachment Ann sent to her secret lover?

7. In what CITY and COUNTRY is their rendez-vous point?

8. What is the MD5sum of the image embedded in the document?

 

사용 툴 : 와이어샤크, HxD, Windows Live Mail

 

============================================================================

 

#1. What is Ann’s email address?

     (Ann의 이메일 주소는 무엇인가?)

 

메일전송에 이용되는 프로토콜은 SMTP이다. 따라서 와이어샤크의 검색창에 SMTP를 검색 후 Follow TCP Stream을 실행한다.

 

[그림 1]

[그림 1]에서 표시된 부분을 보면 발신자 이메일이 sneakyg33k@aol.com 이라는 것을 알 수 있다. 

이것을 실제 메일로 복구하여 확인하려면 아래와 같이 진행하면 된다.

 

SMTP 프로토콜은 Windows Live Mail 을 통해 메일 파일을 열어볼 수 있다. 이를 위해 해당 패킷을 Raw 데이터로 저장 후 확장자를 .eml로 저장한다. 저장 후 파일을 열어보면 아래와 같은 이메일을 확인할 수 있다.

 

 

[그림 2]

[그림 2]에서도 발신자는 sneakyg33k@aol.com, 수신자는 sec558@gmail.com 이라는 것을 알 수 있다.

메일 내용은 점심 약속을 미루자는 내용이다.

 

 

#2. What is Ann’s email password?

     (Ann의 이메일 비밀번호는 무엇인가?)

 

[그림 3]

SMTP 패킷을 다시 살펴보면 AUTH LOGIN이라는 곳이 있고 Base64로 인코딩된 부분이 나온 후에 AUTHENTICATION SUCCESSFUL 이라는 말이 나와있다. 이는 LOGIN과 SUCCESSFUL 사이에 Base64로 인코딩된 부분에서 로그인에 대한 정보를 얻을 수 있다는 말 같다. 

 

위의 내용들을 Base64로 디코딩을 진행하면 다음과 같다.

 

[그림 4]

이를 통해 Ann의 이메일 패스워드는 558r00lz 인 것을 알 수 있다.

 

 

#3. What is Ann’s secret lover’s email address?

     (Ann의 비밀애인의 이메일 주소는 무엇인가?)

 

 

위에 Ann이 보낸 메일이 하나 있지만 다른 메일이 있나 확인해보기 위해 SMTP의 다음 스트림을 확인해보니 다른 메일이 하나 더 있었다. 해당 스트림을 보면 다음과 같다.

 

[그림 5]

 

이 패킷도 위와 같은 방식으로 Raw 데이터로 변환 후 .eml파일로 저장을 하면

Windows Live Mail로 확인이 가능하다.

 

[그림 6]

이 메일은 fake passport와 bathing suit를 가져와라, 주소를 첨부했다, 사랑한다라는 내용이 있다. 첫번째 메일과 비교해봤을 때 두번째 메일이 뭔가 더 비밀스러운 애인에 가깝다고 느껴진다. Ann의 비밀애인의 이메일은

mistersecretx@aol.com 인 것으로 추정된다.

 

 

#4. What two items did Ann tell her secret lover to bring?

     (Ann이 비밀애인에게 가져오라고 한 두가지 물건은 무엇인가?)

 

[그림 6]의 메일 내용에서 Ann이 가져오라고 한 물건은 fake passport, bathing suit 이다.

 

 

 

#5. What is the NAME of the attachment Ann sent to her secret lover?

     (Ann이 비밀애인에게 보낸 첨부파일의 이름은 무엇인가?)

 

[그림 6]에 첨부된 파일의 이름은 secretrendezvous.docx 이다.

 

 

#6. What is the MD5sum of the attachment Ann sent to her secret lover?

     (Ann이 비밀애인에게 보낸 첨부파일의 MD5sum 값은 무엇인가?)

 

MD5sum 값을 구하기 위해 우선 해당 첨부 파일을 내려받는다. 이후에 Puzzle #1에서 했던 것과 동일하게 HxD를 이용해서 MD5sum을 추출한다. (분석 - 체크섬 - MD5)

 

 

[그림 7]

 

#7. In what CITY and COUNTRY is their rendez-vous point?

     (그들이 만나기로한 장소는 어디인가?)

 

Ann이 보낸 secertrendezvous.docx의 내용을 확인해 보면 이들이 만나기로한 장소에 대한 이미지가 첨부되어 있다.

 

[그림 8]

 

#8. What is the MD5sum of the image embedded in the document?

     (Ann이 보낸 파일에 첨부된 이미지의 MD5sum 값은 무엇인가?)

 

위의 이미지를 저장 후 마찬가지로 HxD로 MD5 값을 추출하면 된다

(저는 한워드를 많이 안써봐서 이미지를 원본으로 저장하는 법을 몰라서 해당 이미지를 hwp파일에 복붙한 후에 hwp에서 이미지를 저장했습니다,,)

 

 

[그림 9]

 

Puzzle #2는  SMTP 패킷을 통해 이메일을 추출하기만 하면 다 풀리는 문제였다.

(핵심내용 : 이메일 - SMTP 파일을 Raw데이터로 변환 후 .eml 파일로 저장)

 

 

 

 

이로써 Puzzle #2의 모든 문제를 풀었따!