kisa - 해킹 공격 흔적 찾기

kisa - 해킹 공격 흔적 찾기

포렌식 문제이다. 디스크 파일을 분석해서 root 계정의 비밀번호를 획득해야 한다고 한다.

제공되는 파일의 확장자는 .img이지만, 시그니쳐를 확인해보면  1F 8B 08로 gz파일이다. 따라서 gz압축으로 압축을 풀면 디스크 이미지를 획득할 수 있다.

UFS 파일 시스템이며 FreeBSD이다.

passwd를 보고 계정 root비밀번호를 획득 해보려 하였으나, 실패하였고, shadow파일은 존재하지 않았다.

다른 history도 찾을 수 없었다. 그 중 etc경로에 pwd.db, spwd.db가 있었는데 이는 각각 사용자 정보가 저장되는 파일이다.

pwd.db에는 계정 정보가, spwd.db에는 비밀번호가 적혀 있다고 한다.

위 사진은 spwd.db 파일의 일부를 가져온 화면이다. 아마도 비밀번호가 암호화 되어 있는 것 같다.

하지만 이를 풀기 위해서는 john the ripper등을 사용하여야 하는데, 그리 쉽게 획득 할 수 있는 것은 아니다. 이런 방식으로 문제를 출제하는 것은 별로 기준에 맞지 않다고 판단하여 다시 찾아 보았다.

다른 방법으로 계정의 비밀번호 획득을 할 수 있는 방법은 디스크 이미지 파일의 unallocated space에 정보가 있다. 여기에는 파일이 삭제된 경우 일부 남아 있는다고 한다. (UFS의 특성으로 생각된다.)

위 사진은 unallocated space의 파일 목록이다. 12789와 43983은 어떠한 사용자가 사용한 command history가 저장되어 있다.

여기서 알아야 하는 점은 일반 사용자의 경우 앵간해서는 uname -a, who등의 명령은 잘 치지 않는다. 잘 치지 않는다기 보다는 그냥 문제 출제시 그렇게 내지는 않을 것이다.

따라서 어떠한 공격자가 있다는 것을 유추 해야한다.

43983파일은 위 사진과 같다. sniffit라는 파일을 다운받고 이름을 바꾼 뒤 사용을 하였다. 스니핑 도구 인 것으로 판단이 되며, 공격 행위를 했다는 것을 확인할 수 있다.

문제 지문에 공격자가 있다는 내용이 있었다면 보다 쉽게 풀지 않았을까 싶다.

어찌되었건 여기서 스니핑을 했다는 것을 유추할 수 있고, 스니핑을 했다면, 어딘가에 데이터가 저장되어 있을 것이다. 결과 데이터는 같은 unallocated space의 57224파일에 해당된다.

이 파일의 시그니쳐는   D4 C3 B2 A1로 pcap파일에 해당되며 와이어 샤크로 열면 텔넷 접속에 관한 패킷 정보가 있음을 확인할 수 있다.

패킷 데이터에는 다른 정보가 포함되지 않고 텔넷 연결 정보만 가득하기 때문에 바로 답을 얻을 수 있다.

exit로 어떠한 쉘을 탈출한 뒤 su명령을 통해 관리자 획득을 하고자 한 것 같다. 이 과정에서 root의 비밀번호를 사용하였고, 이 정보가 저장 된 것으로 판단이 된다.

Answer : H@rd44or*ns1c8760$!em