[Sans Forensic Contest Puzzle #3] 문제풀이

Sans Forensic Contest Puzzle #3

 

문제 링크 : http://forensicscontest.com/2009/12/28/anns-appletv

Ann’s AppleTV – Network Forensics Puzzle Contest

시나리오 :

 

Ann and Mr. X have set up their new base of operations.

While waiting for the extradition paperwork to go through, you and your team of investigators covertly monitor her activity.

 

Recently, Ann got a brand new AppleTV, and configured it with the static IP address 192.168.1.10. Here is the packet capture with her latest activity.

 

You are the forensic investigator. Your mission is to find out what Ann searched for, build a profile of her interests, and recover evidence including:

 

 

요약 :

최근 Ann은 새로운 AppleTV를 확보하여 고정 IP 주소 192.168.1.10으로 구성했다.

다음 패킷캡쳐를 통해 문제를 해결하라. 

 

문제 :

1. What is the MAC address of Ann’s AppleTV?

 

2. What User-Agent string did Ann’s AppleTV use in HTTP requests?

3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?

4. What was the title of the first movie Ann clicked on?

5. What was the full URL to the movie trailer (defined by “preview-url”)?

6. What was the title of the second movie Ann clicked on?

7. What was the price to buy it (defined by “price-display”)?

8. What was the last full term Ann searched for?

 

사용 툴 : 와이어샤크

 

 

===========================================================================

 

#1. What is the MAC address of Ann’s AppleTV?

     (Ann의 AppleTV의 MAC 주소는 무엇인가?)

 

AppleTV에 대한 IP주소가 192.168.1.10로 주어져 있으며, 이에대한 MAC주소를 알기 위해서는 IP가 192.168.1.10인 첫번째 패킷을 통해 알 수 있다. 해당 MAC주소는 [그림 1]의 표시된 부분에서 볼 수 있으며, 00:25:00:fe:07:c4 이다.

 

[그림 1]

 

#2. What User-Agent string did Ann’s AppleTV use in HTTP requests?

     (Ann의 AppleTV는 HTTP 요청에 어떤 User-Agent 문자열을 사용 했는가?)

 

 

*User-Agent란?

  - 사용자를 대신해서 인터넷에 접속하는 소프트웨어, 즉 브라우저를 뜻한다.

    User-Agent는 인터넷에 접속할 때 사용자에 관한 정보를 전송하는데 이 안에는 접속한 브라우저,

    OS등에 대한 정보를 포함한다.

 

  - 간단하게 접속한 브라우저 + OS 정보 라고 생각할 수 있다.

 

User-Agent를 알기 위해서는 AppleTV에 대한 TCP Stream을 통해 확인할 수 있다.

 

 

[그림 2]

tcp를 검색 후 Source가 192.168.1.10인 패킷에 대한 TCP Stream을 확인한다.

 

 

[그림 3]

[그림 3]과 같이 User-Agent 값이 AppleTV/2.4인 것을 알 수 있다.

 

#3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?

     (AppleTV에서 Ann의 처음 네 가지 검색어는 무엇입니까)

 

 

HTTP와 관련된 문제는 [File - Export Objects - HTTP] 기능을 사용하면 관련 정보를 찾아낼 수 있다.

 

[그림 4]

위 기능을 수행했을 때 세번째 항복 즉 56번 패킷을 보면 incremental searches 라는 문제에 주어진 단어가 있음을 확인할 수 있다. 이는 증분검색을 뜻하며, 56번 패킷부터 차례로 192, 233, 279번 패킷에서

해당 값들을 찾을 수 있다.

 

검색한 문자는 h,ha,hac,hack 이 된다.

 

 

[그림 5]

 

 

 

해당 문제는 String 검색을 통해서도 풀이가 가능하다.

 

먼저 검색 내용을 찾기 위해 GET을 사용한 HTTP 패킷을 확인해 보아야 한다. 이는 WireShark 필터를 이용한다.

 

[그림 6]

 

주어진 문제에서 incremental searches를 확인하라고 하였으므로 검색기능을 통해 incremental search라는 문자열을 포함하고 있는 패킷이 있는지 확인해 본다.

 

검색은 컨트롤+f 키를 누른 후 카테고리를 String으로 변환하고 검색어에 incremental search를 입력한다.

 

 

[그림 7]

 

검색결과를 차례로 확인하면 h,ha,hac,hack 을 찾을 수 있다.

 

 

#4. What was the title of the first movie Ann clicked on?

     (Ann이 가장 처음으로 클릭한 영화의 제목은 무엇인가?)

 

 

시나리오적으로 생각해볼 때 검색 후에 클릭을 할 것이다. 따라서 시간 흐름상 검색을 한 이후의

패킷에 대해 집중적으로 확인을 해야한다.

 

이때 [그림 8]과 같이 GET 요청에 의한 HTTP 200 OK 패킷을 통해 XML 소스를 확인할 수 있다.

 

 

[그림 8]

 

HTTP 200 OK 패킷은 GET 요청에 의해 발생하게 되는데 문제의 시나리오를 생각해보면 순서는 다음과 같다.

 

1. hack 단어 검색에 대한 200 OK 패킷 요청

2. 단어 검색에 대한 200 OK 패킷 응답

3. 이후 발생하는 GET 요청은 Ann이 클릭 시 발생한 요청

4. 클릭내용에 대한 결과 값을 받아오는 HTTP 200 OK 요청

 

즉, hack 단어 검색 이후 세번의 200 OK 패킷이 있으며, 마지막 세번째의 200 OK 패킷에서 Ann이 클릭한 영화의 정보를 얻을 수 있다.

 

우선 #3 에서 hack을 검색한 마지막 패킷의 넘버를 확인하면  276번 패킷이라는 것을 알 수 있다.

이제 필터링을 해제하고 276번 패킷 다음에 나오는 세 개의 200 OK 패킷을 찾아야 한다.

 

[그림 9]

[그림 9]와 같이 200 OK 패킷은 279, 282, 312번 패킷이고, 마지막 312번 패킷에서

우리가 원하는 정보를 얻을 수 있다.

 

 

[그림 10]

 

패킷의 XML 코드를 보기 위해 해당 패킷을 클릭 후 eXtensible Markup Language 에서 우클릭 후 Copy -

as Printable Text를 클릭한다. 이후 NotePad에 붙여넣기를 하면 XML 코드를 볼 수 있다.

 

 

[그림 11]

 

XML 코드에서 Key Title에 대한 값은 Hackers 인것을 알 수 있다.

 

 

 

#5. What was the full URL to the movie trailer (defined by “preview-url”)?

     (영화 예고편의 전체 URL은 무엇인가? )

 

 

영화 예고편의 URL은  #4에서 확인한 XML 코드에서 쉽게 찾을 수 있다. 문제에서 주어진 preview-url을

XML코드가 적힌 NotePad에서 "컨트롤+F" 를 눌러 검색하면 URL을 확인할 수 있다.

 

[그림 11]

URL = http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640x278.h264lc.d2.p.m4v

 

 

 

#6. What was the title of the second movie Ann clicked on?

     (Ann이 클릭한 두 번째 영화의 제목은 무엇인가?)

 

이번 문제는 #3 문제와 같은 방식으로 풀이할 수 있다. 먼저 똑같이 http.request.method == "GET" 와 incrementalsearch로 필터링을 한 후 hack 을 검색한 이후의 패킷을 확인하고, 세 번째 200 OK 패킷의 XML을 확인하면 된다.

 

[그림 12]

 

검색 키워드 : sneak (패킷 No. 1168)

클릭한 영화 정보를 가지고 있는 200 OK 패킷 ( 패킷 No. 1186)

 

[그림 13]

Key Title에 대한 값은 Sneakers

 

 

#7. What was the price to buy it (defined by “price-display”)?

     (그것에 대한 가격은 얼마인가?)

 

 

이번 문제도 #5 와 마찬가지로 검색키워드가 주어져있기 때문에 해당 XML 코드에서 쉽게 찾을 수 있다.

Notepad에서 "price-display" 을 검색한다.

 

 

[그림 14]

 

Price-display : $9.99

 

 

 

#8. What was the last full term Ann searched for?

     (Ann이 마지막으로 검색한 말은 무엇인가?)

 

 

#3,6 번 문제와 동일하게 풀 수 있는 문제이다. 

http.request.method == "GET" 와 incrementalsearch로 필터링을 한 후 hack, sneak을 검색한 이후의 결과를 확인한다.

 

[그림 15]

 

Ans : iknowyourewatchingme

 

 

 

이로써 Puzzle #3의 모든 문제를 풀었따!