Suninatas / Forensic 29 (디스크 이미지 분석)

# Forensic 29 - Brothers

문제를 보면 총 4가지를 기준으로 답을 찾아 종합해야 한다.

문제파일은 egg파일로 압축을 풀면 윈도우 7 vm파일이 제공된다.

vmware로 돌려가며 찾아도 되지만 ftk imager로도 열 수 있기 때문에 ftk를 이용하였다.

● Q1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다.

-> 네이버에만 들어가면 차단 화면으로 연결 된다는 것은 dns를 고의적으로 누군가 바꾸어 놓은 것이다. 여러 방법이 있겠지만 여기서 유추 할 수 있는 방법은 로컬에서 dns를 바꿀 수 있는 hosts파일 변조이다.

-> hosts파일은 c:\Windows\System32\\drivers\etc\hosts에 존재한다.

< 변조된 hosts 파일 >

hosts 파일을 보면 위와 같이 키 값을 얻을 수 있다.

Q1 Key : what_the_he11_1s_keey

● Q2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자)

-> 숨겨진 키로거의 절대 경로를 찾으면 된다. 처음 ftk로 열었을 때 부터 수상해 보였던 폴더가 있다. 바로 root 하위의 v196vv8이라는 폴더이다. 폴더 하위로 쭉 따라가다 보면 ss라는 폴더가 있는데 이 폴더를 보면 다수의 스크린 샷을 확인하 볼 수 있고 그 마지막에 친절하게 프로세스 모니터로 키로거가 잘 동작이 되는지 확인까지 한 스크린 샷이 있다.

< 수상한 경로 및 스크린샷 저장 폴더 >

< 수상한 스크린샷 일부 >

보면 v1tvr0.exe라는 프로세스의 상태정보를 확인하고 있다. 스크린샷과 동작을 확인해 보면 키로깅 프로그램인 것을 확인할 수 있다. 키는 lower case로 맞추어 준다.

Q2 Key : c:\v196vv8\v1tvr0.exe

● Q3. 키로거가 다운로드 된 시간은?

-> 키로거 프로그램은 찾았으나 해당 프로그램이 직접 다운로드 된 파일이라는 근거는 없다. 이유는 해당 프로그램이 다른 프로그램에 의하여 설치가 되었을 수 있기 때문이다. 스크린 샷을 봐도 이를 추측할 수 있다.

< 수상한 스크린샷 - 프로그램 설치? >

사진을 보면 PC SPY2010이라는 프로그램을 설치하는 화면을 볼 수 있다.

이 프로그램이 키로거를 설치했다고 특정할 순 없다. 따라서 LogFile, UsnJrnl을 참조하여 파일이 설치된 시간, 및 설치 프로그램이 다운로드 된 시간을 파악해야 한다.

< 키로거 생성 시간 >

어찌 되었건 키로거로 추측을 하고 있는 v1tvr0.exe가 생성된 시간을 파악해 보면 이와 같다. 2016-05-24_04:26:09

이 시간을 기준으로 이전에 생성된 프로그램들을 찾아보면 다음과 같다.

< 설치 추정 프로그램 생성 시간 >

스크린 샷에서도 보았던 키로거 설치 프로그램이다. 프로그램 이름도 keylogger이며 위 사진에서는 보이지 않지만 처음 다운로드 된 경로도 \Users\training\AppData\Local\Microsoft\Windows\Temporary Internet Files 하위이다.

주로 인터넷 임시파일이 저장되는 공간이다. 여기서 설치 프로그램을 특정하지 못하였으나 이 파일의 생성시간이 Q3의 답이다.

Q3 Key : 2016-05-24_04:25:06

● Q4. 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾으면 Key가 보인다.

이는 어렵지 않게 구할 수 있었다. 키로거가 저장된 폴더 하위에 떡 하니 키로깅 데이터가 저장되어 있었기 때문이다.

< 키로깅 데이터 >

c:\v196vv8\v1valv\Computer1\24052016 #training\z1.dat을 보면 필요한 key를 얻을 수 있다.

Q4 Key : blackkey is a Good man

키 값을 종합하면 다음과 같다.

lowercase(MD5("what_the_he11_1s_keey"+"c:\v196vv8\v1tvr0.exe"+"2016-05-24_04:25:06"+"blackkey is a Good man"))

이전에도 이렇게 푼 것 같은데.. 아무래도 해쉬화 과정에서 문제가 있지 않았나 싶다.

Q2의 키중 \v에서 역슬래시가 한번 들어가 v를 씹어버리는 문제가 있었던 것 같다. 따라서 문자열 출력을 위해 \\을 이용한다.

lowercase(MD5("what_the_he11_1s_keeyc:\\v196vv8\\v1tvr0.exe2016-05-24_04:25:06blackkey is a Good man"))

Suninatas Answer : 970f891e3667fce147b222cc9a8699d4