Ch4nh33

문제를 다운로드 후 실행 

힌트를 보면 zip 파일이 있는데 파일 전송이기 때문에 FTP를 확인해보았다.

해당 파일을 열어보았다.

확장자는 jpg이고 I라는 단어만 유일하게 jpg 헤더를 갖고 있다.

단어를 배열해서 헥스값을 합치면 될 것 같다.

힌트에서 주어진 Snowden’s-eloquent-quotes를 구글에 검색해보았다.

tcp.stream eq 42에서 client 부분에 또 다른 zip파일이 있었다.

raw로 변경한 후 HxD에서 확인해보았다.

PK의 푸터 50 4B 05 06 시그니처를 검색해보니 여러 개가 존재하는 걸로 보아 zip파일이 한 개가 아닌 것 같다.

50 4B 05 06 시그니처 끝부분을 2D 2D 시작하는 앞부분까지 잘라 저장하였다.

총 3개의 zip파일이 추출되었다.

-> 34jdsioj.zip, breaking_bad_season_6.zip, canc3l.zip

cat 명령어로 위의 영어문장 순서에 맞게 적으면 파일이 합쳐진다.

이미지 속성에서 시간 순서를 보아 체스이미지를 맞추었던 단어들은 다음과 같다.

1. 오전 11:09:18 

2. 오후 1:43:54

3. 오후 2:10:14

breaking_bad_season_6 폴더에 들어있는 이미지는 세 번째가 맞고 나머지는 다 섞여있다.

그래도 각각 헤더 시그니처가 있어서 문장을 조합해보면 아래와 같은 문장이 나온다.

condone American web-based rights constructing security terrorism NSA Watergate corrupt human behind closed doors -보안 테러 NSA 워터게이트를 건설하는 미국의 웹 기반 권리를 묵인하다.

there their a it but communism nor because unconstitutional secretive secret.

-그들은 공산주의에 불과하지만 위헌적인 비밀 때문에 그러지는 않는다.

아까 나온 체스 이미지를 구글에 검색해보니 chess set이라고 나왔다

리눅스 환경에서 풀었더니 잘 풀렸다. -> 리눅스 환경에서 푸는 문제인거 같다.

문제를 다운로드 후 실행 

패킷들을 분석을 하려고 보면 전부다 Base_64 인코딩되어있다.

디코딩을 해보니 다시 인코딩이 된 문자열이 보이는데 , 이중으로 인코딩이 된거 같다. 

다시 디코딩을 해보았다.

base 32로 인코딩 된거 같아서 디코딩을 했다.

문자열이 보이는데 평양에서 뭔가를 하는건가 잘 모르겠다. 

그래서 그냥 일일히 전부 다 디코딩 해봤다.

알수없는 문자열이 나오는데...

c9fa5b8cb3b197ae5ce4baf8415a375b  -> 32개의 문자열로 MD5가 아닌가 추측했다.

Carcas 라는 문자열이 보인다. 

이게 뭘까?

Caracas는 베네수엘라의 수도라고 한다 .

성공

다운로드 후 실행

문제에서 볼수있는것은 base64인코딩과 밀접한 관련이 있는것으로 보인다.

SNMP 프로토콜로 통신을 하고 있는데 내부의 내용을 확인해보기 위해서 SMB Object 기능으로 파일을 확인해보았다.

SMB는 네트워크에 연결된 컴퓨터끼리 파일, 프린터, 포트 또는 기타 메시지를 전달하는데 사용된다.

Documents.zip 파일이 보인다.

문제에선 트래픽에 사용자 이름 목록이 있는 것으로 의심한다 하였다.
문서파일에 이름 목록이 있을 가능성이 높으니 Documents.zip 파일을 저장하겠다.

4개의 파일과 ZIP파일이 보인다.

각 폴더에 docx 문서들은 아래 예시와 같이 base64로 인코딩 되어있다.

하나하나 전부 디코딩 해봤다.

GoT Spoilers.docx

North Korea.docx

PiD.docx

Enter the WuTang.docx

The Mystery of Chess Boxing:
(usernames)

Mr. Method

Kim Ill-Song

Mr. Razor

Mr. Genius

Mr. G. Killah

Matt Cassel

Mr. I. Deck

Mr. M Killa

Mr. O.D.B.

Mr. Raekwon

Mr. U-God

Mr. Cappadonna (possibly)

John Woo?

Mr. Nas

여러개의 사용자이름이 나오게되는데 사진파일들을 찾아보면 North Korea의 국기가 나온다

그러면 사용자는 North Korea 사람이아닌가 의심이 간다.

그래서 많은 이름들중에서 Kim Ill Song이 의심된다. 

다운로드 후 실행 

패킷을 확인해보면 지금 현재 RTP 프로토콜로 통신을 하고 있는것을 확인 할 수 있다.

RTP는 멀티미디어 메세지를 전송하는데 사용한다고 한다.

Thelephony -> RTP -> Stream Analysis

플레이를 해보면 음성메세지가 나온다.

Victoria라는 사람이 다 죽이겠다고 한다.

문제를 다운로드 후 실행 

문제에서 물어보는것은 지금 악의적인 url을 물어보고있다. 

그래서 pcap을 다운받고 network miner로 실행해서 파일들이 어떤것이 있는지 확인 해보았다.

실제로 은행 사이트로 추정되는 url을 발견했다. 

www.bankofamerica.com  

실제로 존재하는 사이트였다. 

허위 사이트는 아니라서 허위 url이 있는지 조금더 찾아보기로 했다.

HTTP Response Srtaus Code 200 Ok

HTTP로 접속을 했던 흔적이 보인다 와이어 샤크로 확인해보았다.

bankofamerica.tt.omtrdc.net

구글에 접속을했던 흔적이 발견되었다.

Dwhy%2520is%2520my%2520bank%2520of%2520america%2520account%2520not%2520working%253F%26source%3Dweb%26cd%3D2%26ved%3D0CD4QFjAB%26url%3Dhttp%253A%252F%252Finfocenter.bankofamerica.com%252Fsmallbusiness%252Fic2%252Fonline-banking

-> 뒤의 문자열을 확인해보면 

why is my bankofamerica account not working

이것으로 허위 url은 bankofamerica.tt.omtrdc.net

http://bankofamerica.tt.omtrdc.net

다운로드 후 실행 

악성페이로드를 찾기위해서 Network Miner를 사용했다. 

147 - html 파일의 용량이 확연하게 크기 때문에 악성코드인것 같다고 생각했다.

- 악성코드 파일 판별해주는 사이트

https://www.virustotal.com/gui/home/upload

문제에서 용량이 얼마인지 물어봤기 때문에 

답은 3113이라고 생각했다. 

실제로 악성코드였다. 

성공 

문제를 다운로드 후 log.txt 파일이 있어서 열어보았다.

안드로이드 및 화웨이를 보아하니 모바일 환경인것 같다. 

이외에 DUMP 파일을 확인해보니 여러가지 파일들을 확인할 수 있었다

특별한건 찾지못했다. 

그래서 하나하나 찾아보던중에 하나의 사진파일을 볼 수 있었다.

Mnt -> Sdcard -> DCIM -> Camera 

사람이 쓰러져있는 사진을 볼 수 있는데 , 죽은건가??

-> DIED 라고 한다. 

뭔가 허무하다.

아무튼 성공

파일을 다운로드해서 확인해보았다. 

대화내용을 확인하기 위해서 네트워크 마이너를 사용하였다.

kml 파일 형식이라고 한다. 

Kml 파일이 무엇이냐면 구글어스에서 지원되는 파일 형식이라고 한다.

그럼 Kml파일을 확인해보면 패스워드를 알 수 있지 않을까

<font color='black' size='2' face='arial'>B<font face=\"Arial, Helvetica, sans-serif\"><font size=\"2\">etty,<br>
Got it, I'll be there.<br>
Greg<br>
</font></font><font color=\"black\" face=\"arial\" size=\"2\">

<div> <br>

</div>



<div> <br>

</div>



<div> <br>

</div>



<div style=\"font-family:arial,helvetica;font-size:10pt;color:black\">-----Original Message-----<br>

From: Betty Swindoll System.Char[]lt;betty_swindoll@aol.comSystem.Char[]gt;<br>

To: d34thm3rch4nt System.Char[]lt;d34thm3rch4nt@aol.comSystem.Char[]gt;<br>

Sent: Wed, Jun 26, 2013 1:13 pm<br>

Subject: Dinner and a Show<br>

<br>






<div id=\"AOLMsgPart_1_13bafed4-c80f-4085-a4dd-7c0c84dfc3c7\">
<font color=\"black\" face=\"arial\" size=\"2\"><font color=\"black\" face=\"arial\" size=\"2\"><font face=\"Arial, Helvetica, sans-serif\">Hey Greg!<br>


<br>


</font></font>System.Char[]nbsp;System.Char[]nbsp;System.Char[]nbsp; <font size=\"2\"><font face=\"Arial, Helvetica, sans-serif\">I'm so happy you made it. :)System.Char[]nbsp; We should see a concert!System.Char[]nbsp; How about Rod Stewart, the hits.System.Char[]nbsp; Second Mezzanine, Section 4, Row H, Seat 410.You know the location and password for the drop.System.Char[]nbsp; We should get dinner afterwards!<br>


<br>

곳곳에 위치한 \(역슬래시) 문자 때문에 파일이 잘 인식되지 않는다.

그래서 역슬래시들을 모두 지웠다.

kml 파일을 kml 뷰어로 확인

정답은 brutus 인거 같다.

파일을 다운받아서 실행시켜 보면 

패킷들이 지나간것을 확인 할 수 있다.

확인해보니 거의다 html 관련된 파일이다. 

패킷 넘버 390,480번의 mmsc.cingular.com만 mms-message로 다른 내용인 것을 확인

390번 패킷을 캡쳐해서 tcp stream으로 확인해보았다

문제에서 전화 벨이라고 해서 전화내용에 관련된 정보가 아닐까 추측했는데 

패킷을 캡쳐해서 보니까 기종은 화웨이 인것 같다.  -> 메세지를 보낸것 같다. 

이 패킷을 저장해서 mp4로 확장자를 변경해주면??

그럼 그렇지 이렇게 쉽게 풀릴리가...

변경한 확장자는 맞았으나, 파일 시그니처가 달랐기 때문이다.

http://forensic-proof.com/archives/300

MP4의 파일 시그니처

위 사이트에서 MP4의 파일 시그니처를 검색해보면,

MP4의 헤더 시그니처는 00 00 00 18 66 74 79 70 임이 나온다.

DYSENTERY 라고 동영상 파일에 나온다.

단어의 뜻을 몰라서 번역을 해보니 이질이라고 한다.

성공!!

어느 도시에서 만나는지 즉 만날 장소를 고르면 되는것 같다.

해당 파일을 다운로드하여 확인을 해보니 

google에 접속한 패킷이 보인다.

자세히 알아보기 위해서 트래픽을 확인해보았다.

트래픽이 많으면 그 중에서 찾을 수 있는 확률이 높으니까

network miner로 pcap파일을 열어서 확인해보니 google maps에 들어간 흔적이 보인다.

메세지의 내용을 확인해보았다.

Hi Greg,

I am so sorry I no-showed.  I wanted to make sure you didn't bring any friends :)  
We can try and meet up again though!  
Here is the password for where you should meet me: S3cr3tVV34p0n
Can't wait for you to get here!
Betty

첫번째 패스워드는 S3cr3tVV34p0n이라는것을 알아냈다.

Hi Betty,
I've got the password, I'll be there
Greg

두번째 메세지에서는 크게 얻을것이 없다. 

DCC SEND r3nd3zv0us 2887582002 1024 819200

세번째 메세지는 DCC SEND라고 한다. -> 뭔지 몰라서 구글링 했다.

DCC SEND라고 나왔다는것은 Greg 이랑 Betty가 IRC 통신을 주고 받았다는 이야기가 된다.

위의 설명대로 추합해보면 

DCC SEND 

r3nd3zv0us - 파일이름 
2887582002 - ip 
1024 - port
819200 - 파일크기 

r3nd3zv0us라는 파일을 1024 포트로 전송했다는것을 알 수 있다.

포트번호를 확인해주고 Stream 해보았다.

암호화된 문자열이 보인다. 

DCC SEND 메세지로 봤었던 것을 참고하여 파일크기를 819KB로 동일하게 맟춰주고 

save as로 저장했다.

save as로 와이어샤크로 카빙했던 파일을 저장하고 True crypt로 마운트를 해주었다.

패스워드를 입력해야하는데 첫번째 메세지에서 패스워드는

S3cr3tVV34p0n을 알고있기 때문에 입력해주었다.

마운트를 하고 나면 해당 경로에 파일이 2개 생성된것을 확인 할 수 있는데

열어서 확인해보았다.

라스베가스 사진이 나오고 그다음에 라스베가스에서 보자는 메세지가 보인다.

아마도 만나는 장소는 LAS_VEGAS 인거 같다.

성공!!