[Cresendo] Stego Problem 01

#About

당신은 K 기업의 보안 담당자로서 내부 직원 이씨가 회사 내부 핵심 기술정보를 빼돌리려고 한다는 익명의 제보를 획득하였다.

이에 따라 당신은 이씨의 PC를 조사하게 되었고, 단 하나의 수상한 파일을 발견하게 되었는데....

기술 설계도면을 찾아 해당 파일의 SHA-1 해쉬값을 찾으시오.

---

#Solution

[그림 1] - 문제 파일 확인

스테가노그래피는 전달하려는 데이터를 이미지 파일이나 MP3 파일, 동영상 파일 등에 삽입해 데이터를 은닉하는 

기술 중 하나이며 특징이 위 그림과 같이 육안으로 숨겨진 데이터를 확인하기 매우 어렵다는 것이 특징이다

스테가노그래피는 크게 삽입과 수정의 두 가지 기법으로 나뉘며 삽입기법은 은폐할 데이터를 다른 데이터에 넣는 방식이며

다른 데이터에 영향을 주지 않고, 수정기법은 이미지를 나타내는 RGB 값의 최하위 비트인 LSB를 주로 수정하여 육안으로 알아차리기 힘들게한다 

위의 설명이외에도 스테가노그래피에는 여러가지 기법이 있으며 데이터 은닉을 위한 목적이라면 모두 스테가노그래피에 해당한다

[그림 2] - PNG 헤더 시그니처 확인

위 그림은 [그림 1]의 이미지를 이루는 16진수 데이터를 확인한 것이며 png 파일의 시작을 의미하는 89 50 4E 47 0D 0A 1A 0A를 확인했다

거의 대부분의 파일은 확장자를 의미하는 시그니처 값이라는 것이 있으며 PNG의 경우 헤더 시그니처와 푸터 시그니처 모두 존재한다

PNG는 푸터 시그니처로 49 45 4E 44 AE 42 60 82라는 값을 가지며 이는 해당 파일의 끝을 의미한다

[그림 3] - PNG 푸터 시그니처 확인

PNG의 푸터 시그니처를 확인결과 파일을 이루는 데이터의 끝을 의미하는 마지막 부분에 푸터가 존재하는 것이 아닌 중간 부분에 있었으며 

중간 부분에는 50 4B 03 04라는 압축 파일인 ZIP의 헤더 시그니처가 존재함을 확인했고 이를 통해 [그림 1]에는 압축 파일이 숨겨져 있음을 알 수 있었다

따라서 ZIP 파일의 50 4B 03 04인 헤더 시그니처부터, 푸터 시그니처를 의미하는 50 4B 05 06까지 데이터를 카빙해 zip_carving.zip으로 저장해주었다

[그림 4] - ZIP 파일 카빙

ZIP 파일의 데이터의 끝을 의미하는 50 4B 05 06까지 카빙했을 경우, 손상된 파일이라 뜨며 데이터의 끝까지 카빙했을 때에는 

에러가 뜨지 않았다. 일반적으로는 데이터의 끝을 의미하는 푸터 시그니처까지 카빙을 해야 정상적이지만 왜 이런지 잘 알 수 없었고 

알게 된다면 추가적으로 포스팅을 할 예정이며 혹시라도 아는 분이 계시면 댓글로 달아주시면 감사하겠습니다

다시 문제로 넘어와 zip_carving.zip 파일을 확인하면 아래와 같이 files.jpg라는 이미지 파일이 있고 해당 압축 파일에는 비밀번호가 걸려있었다

[그림 5] - 압축 파일 내용 및 압축 비밀번호 설정 온 확인

여기까지 온 것이면 비밀번호는 크게 어렵다고 생각이 들지 않았고 브루트 포싱 도구를 이용하여 해결했으며 도구의 링크는 아래를 참조하길 바란다

https://advanced-archive-password-recovery.kr.uptodown.com/windows

[그림 6] - 브루트 포싱 도구

[그림 7] - 비밀번호 확인

위 도구를 통해 비밀번호를 확인했으며 이를 이용해 숨겨진 설계도면을 확인할 수 있었다

[그림 8] - 숨겨진 기술설계 도면 확인

[그림 9] - 기술설계 도면의 SHA-1 해쉬 값

Answer = CD765B729379BB0FF7D563CB5CA12D62AB1CD104