Test

#About

당신은 K 기업의 보안 담당자로서 내부 직원 이씨가 회사 내부 핵심 기술정보를 빼돌리려고 한다는 익명의 제보를 획득하였다.

이에 따라 당신은 이씨의 PC를 조사하게 되었고, 단 하나의 수상한 파일을 발견하게 되었는데....

기술 설계도면을 찾아 해당 파일의 SHA-1 해쉬값을 찾으시오.

#Solution

[그림 1] - 문제 파일 확인

스테가노그래피는 전달하려는 데이터를 이미지 파일이나 MP3 파일, 동영상 파일 등에 삽입해 데이터를 은닉하는 

기술 중 하나이며 특징이 위 그림과 같이 육안으로 숨겨진 데이터를 확인하기 매우 어렵다는 것이 특징이다

스테가노그래피는 크게 삽입과 수정의 두 가지 기법으로 나뉘며 삽입기법은 은폐할 데이터를 다른 데이터에 넣는 방식이며

다른 데이터에 영향을 주지 않고, 수정기법은 이미지를 나타내는 RGB 값의 최하위 비트인 LSB를 주로 수정하여 육안으로 알아차리기 힘들게한다 

위의 설명이외에도 스테가노그래피에는 여러가지 기법이 있으며 데이터 은닉을 위한 목적이라면 모두 스테가노그래피에 해당한다

[그림 2] - PNG 헤더 시그니처 확인

위 그림은 [그림 1]의 이미지를 이루는 16진수 데이터를 확인한 것이며 png 파일의 시작을 의미하는 89 50 4E 47 0D 0A 1A 0A를 확인했다

거의 대부분의 파일은 확장자를 의미하는 시그니처 값이라는 것이 있으며 PNG의 경우 헤더 시그니처와 푸터 시그니처 모두 존재한다

PNG는 푸터 시그니처로 49 45 4E 44 AE 42 60 82라는 값을 가지며 이는 해당 파일의 끝을 의미한다

[그림 3] - PNG 푸터 시그니처 확인

PNG의 푸터 시그니처를 확인결과 파일을 이루는 데이터의 끝을 의미하는 마지막 부분에 푸터가 존재하는 것이 아닌 중간 부분에 있었으며 

중간 부분에는 50 4B 03 04라는 압축 파일인 ZIP의 헤더 시그니처가 존재함을 확인했고 이를 통해 [그림 1]에는 압축 파일이 숨겨져 있음을 알 수 있었다

따라서 ZIP 파일의 50 4B 03 04인 헤더 시그니처부터, 푸터 시그니처를 의미하는 50 4B 05 06까지 데이터를 카빙해 zip_carving.zip으로 저장해주었다

[그림 4] - ZIP 파일 카빙

ZIP 파일의 데이터의 끝을 의미하는 50 4B 05 06까지 카빙했을 경우, 손상된 파일이라 뜨며 데이터의 끝까지 카빙했을 때에는 

에러가 뜨지 않았다. 일반적으로는 데이터의 끝을 의미하는 푸터 시그니처까지 카빙을 해야 정상적이지만 왜 이런지 잘 알 수 없었고 

알게 된다면 추가적으로 포스팅을 할 예정이며 혹시라도 아는 분이 계시면 댓글로 달아주시면 감사하겠습니다

다시 문제로 넘어와 zip_carving.zip 파일을 확인하면 아래와 같이 files.jpg라는 이미지 파일이 있고 해당 압축 파일에는 비밀번호가 걸려있었다

[그림 5] - 압축 파일 내용 및 압축 비밀번호 설정 온 확인

여기까지 온 것이면 비밀번호는 크게 어렵다고 생각이 들지 않았고 브루트 포싱 도구를 이용하여 해결했으며 도구의 링크는 아래를 참조하길 바란다

https://advanced-archive-password-recovery.kr.uptodown.com/windows

[그림 6] - 브루트 포싱 도구

[그림 7] - 비밀번호 확인

위 도구를 통해 비밀번호를 확인했으며 이를 이용해 숨겨진 설계도면을 확인할 수 있었다

[그림 8] - 숨겨진 기술설계 도면 확인

[그림 9] - 기술설계 도면의 SHA-1 해쉬 값

Answer = CD765B729379BB0FF7D563CB5CA12D62AB1CD104

#About

당신은 현재 외부 저장매체를 통한 정보 유출 흔적 분석을 의뢰 받은 상태이다. 주어진 파일은 레지스트리 파일 뿐이며, 해당 파일을 통해 다음 정보를 획득하시오..

1. 해당 컴퓨터의 타임존(영문 대문자)

2. 해당 컴퓨터에 연결된 적 있던 외부 저장매체의 시리얼 넘버

3. 해당 외부 저장매체의 최초 연결 시각

*3번 문항의 시간은 (YYYY-MM-DD hh:mm:ss (1번 문항의 답 타임존 기준)

답 포맷 : [1번 답]_[2번 답]_[3번 답]

Ex: KST_44C931129383892_2016-10-11 11:11:11

#Solution

[그림 1] - 문제 파일 확인

레지스트리 하이브에 속하는 파일들을 확인했으며 하이브란 레지스트리 정보를 저장하고 있는 물리적인 파일이다

레지스트리는 포렌식에 있어 운영체제 정보, 시스템 정보, 응용프로그램 실행흔적, 최근접근문서, 자동실행항목, 저장매체사용흔적 

등과 같은 여러가지 하드웨어 및 소프트웨어의 설정 값들이 저장되어 있으며, 때문에 분석에 있어 중요한 아티팩트가 된다

아래는 레지스트리 분석 도구인 REGA를 사용했으며 도구의 출처는 아래 링크를 참고하길 바란다

http://forensic.korea.ac.kr/tools/rega.html

[그림 2] - REGA 실행

위 그림은 문제를 해결함에 있어 필요한 레지스트리 하이브 파일인 SYSTEM을 REGA에 올려 둔 상태이며 

문제에서 첫 번째로 요구하는 해당 컴퓨터의 타임존은 아래의 경로에서 확인할 수 있다

[그림 3] - 해당 컴퓨터의 타임존 확인

타임존은 동부 표준 시각을 의미하는 EST 이며 2번, 3번 문제를 해결함에 있어 필요한 시간과 맞추기 위해 아래와 같이 시스템의 시간대를 수정해주었다

[그림 4] - 타임존 설정 (EST)

위와 같이 타임존을 설정 해준 뒤, 문제에서 두 번째로 요구하는 외부 저장매체의 시리얼 넘버는 아래의 경로에서 확인할 수 있었다

[그림 5] - 외부 저장매체의 시리얼 정보 확인

해당 시스템에 연결되었던 외부 저장매체의 고유 시리얼 번호는 4C532000021221119534인 것을 확인했으며

[그림 5]의 키 속성에서 최초 연결 시각이 2016-10-23 02:35:06임을 확인할 수 있다 

또한 REGA에서는 외부 저장 장치의 연결 정보를 한눈에 보여주는 기능이 있으며 아래와 같이 외부 저장 장치의 연결 흔적을 모두 확인할 수 있다

[그림 6] - 외부 저장장치 연결 정보 확인

그 중, 드라이브 문자 E를 가지는 외부 저장장치의 시리얼 번호인 4C532000021221119534의 연결시각 또한 확인할 수 있다

Answer = EST_4C532000021221119534_2016-10-23 02:35:06

#About

주어진 파일 시스템 로그를 분석하여 시스템에서 "Everything-1.3.4.686.x86.Multilingual-Setup.exe"가 생성된 시각을 찾으시오

해당 시스템은 UTC+9 시간대를 사용한다.

(YYYY-MM-DD HH:MM:SS 형식으로 입력, UTC +09:00 기준, 띄어쓰기 준수)

#Solution

[그림 1] - 문제 파일 확인

문제에서 제공 받은 파일은 시스템 파일이므로 위와 같이 확인하기 위해선 폴더 옵션에서 옵션의 변경을 진행해 주어야한다

[그림 2] - 폴더 옵션 변경

옵션을 변경해준 뒤, NTFS 파일 시스템 분석 도구인 NTFS Log Tracker을 사용했으며 버전은 1.41에 해당하고 도구의 출처는 아래링크를 참조하길 바란다

https://sites.google.com/site/forensicnote/ntfs-log-tracker

[그림 3] - 파싱 결과 출력

Logfile, UsnJnrl, MFT 파일의 경로를 지정해준 뒤 Parse를 누르게 되면 결과가 파싱되어 출력되고 간편하게 보기위해 CSV 파일로 아래와 같이 추출했다

[그림 4] - csv 출력 결과 파일

csv로 추출했을 때 LogFile과 UsnJnrl 파싱되어 결과 값으로 저장되었으며 Logfile.csv 파일을 살펴보았다

$Logfile은 시스템 오류나 갑작스런 전원 차단 발생시, 작업 중이던 파일 복구를 위해 사용되며 모든 트랜잭션 작업을 레코드 단위로 기록하며

기록되는 정보는 새로운 파일/디렉터리 생성, 삭제, 변경, MFT 엔트리 내용 변경 등이 기록되고 자세한 사항은 아래 링크를 참조하길 바란다

http://forensicinsight.org/wp-content/uploads/2012/05/INSIGHT_A-Dig-into-the-LogFile.pdf

[그림 5] - Logfile.csv 확인

기록된 레코드의 수는 24,676개로 일일이 살펴볼 수 없으므로 검색을 통해 문제에서 요구하는 파일인 "Everything-1.3.4.686.x86.Multilingual-Setup.exe"을 

찾을 수 있었으며 시간 생성 시각 또한 확인할 수 있었다

[그림 6] - Everything-1.3.4.686.x86.Multilingual-Setup.exe의 생성 시각 확인

Answer = 2016-10-13 23:42:29