[DISK] Codegate 2013 > Forensic 200

[ * ] 문제 확인

경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세운다.  경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다. 경찰청은 인터넷에 떠돌아 다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다.  어느날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 음란물은 완전삭제되어 있었다. 그래서 아동 음란물을 받은 흔적을 찾기 위해 증거들을 모두 분석하였지만 아동 음란물 다운로드에 대한 흔적은 존재하지 않았다. 경찰청은 분명 다운로더가 아동 음란물을 받는 것을 트래픽 모니터링을 통해 확인 하였고, 해당 트래픽 또한 증거로 가지고 있으나 결정적인 증거가 없어 해당 다운로더를 기소하지 못하고 있다. 그래서 경찰청은 그대들에게 다음과 같이 요청한다.  “다운로더를 기소할 수 있는 결정적인 증거를 찾아주세요!”

Key format : SHA1("md5(Evidence File)_Download Time")

Download Time : KST, YYYY/MM/DD_HH:MM:SS

[ * ] 해결 방향

해당 지문을 읽으며 유추할 수 있는 내용은 다운로드와 관련 된 아티팩트를 찾는 것이며, 다운로더가 웹 하드 또는 파일을 전송하는 P2P 기술 중 하나인 토렌트를 이용했음을 예측하고 이와 관련한 아티팩트를 찾으면 해당 문제를 해결할 수 있을 것 같다

[ * ] 해결 과정

먼저 주어진 이미지 파일을 FTK Imager로 열게되면 아래와 같은 디렉터리 구조와 사용자 계정들을 확인할 수 있다

가장 의심이 되던 사용자 계정 중 CodeGate_Forensic라는 계정이 가지는 폴더와 파일을 분석했지만 증거를 확정지을만한 별 다른 특징을 확인할 수 없었고, 두 번째로 의심되는 "Administrator" 계정에서 현재 사용하고 있는 응용프로그램 및 시스템 정보를 담고 있는 Appdata 폴더에서 uTorrent라는 다운로드와 관련한 프로그램 폴더를 확인했다 

다운로더가 아동 음란물과 관련한 파일을 다운 받을 때 어느 경로를 기본으로 설정해두었는지 확인하기 위해 settings.dat 파일을 추출한 뒤, 토렌트와 관련 파일을 수정 또는 확인할 수 있는 BEncoder를 통해 확인해 보았고, 아래와 같은 경로를 확인할 수 있었다

해당 경로를 확인하기 전, 다운로더가 uTorrent를 이용해서 내려 받은 파일들을 정확히 파악하기 위해 NTFS를 사용하는 다운로더의 파일 시스템 트랜잭션 정보가 담기는 $LogFile을 분석하여 아래와 같은 결과 값을 얻을 수 있었다

위의 결과 값은 BEncoder에서 확인한 다운로드 파일의 기본 경로와의 일치함을 기준으로 필터링 한 결과이며, 2012년 12월 24일 13시 45분 43초에 "052b585f1808716e1d12eb55aa646fc4984bc862"라는 이름의 파일이 생성 되었고 해당 경로에서 파일을 확인할 수 있었다

바이너리에서 TorrentRG.com이라는 문자를 통해(?) 해당 파일이 토렌트를 이용해 다운로드를 완료했을 경우 생성되는 원본 Seed 파일임을 알 수 있었고, Seed 파일이 생성되는 경로를 나타내는 dir_completed_torrents의 값과도 일치함을 통해 해당 파일이 증거파일임을 알 수 있었다

* FTK Imager는 시간대를 UTC+00:00을 사용하기에 KST(UTC+09:00)를 사용하는 해당 시스템과 차이가 나며, FTK Imager에서 보이는 해당 증거파일의 시간대는 Creation Time이 아닌 Modified Time임. 아래와 같이 Winhex를 사용하면 생성, 수정, 변경시간대를 다 볼 수 있음

Key format : SHA1("md5(Evidence File)_Download Time")

Key = SHA1("449529C93EF6477533BE01459C7EE2B4_2012/12/24_13:45:43")

Key = 0100a4cdfdbb366125e736dad7023527dcbaa5b9

reference

http://forensicinsight.org/wp-content/uploads/2013/03/F-INSIGHT-CodeGate-2013-Write-ups.pdf

http://for-md.org/wp-content/uploads/2014/01/For-MD-Torrent-Forensics.pdf