'CODEGATE2013'에 해당되는 글 3건

  1. 2013.03.05 [CODEGATE2013] Forensics 300
  2. 2013.03.05 [CODEGATE2013] Forensics 200
  3. 2013.03.05 [CODEGATE2013] Forensics 100 4



1. Description


Download Link http://58.229.122.11/ce5a4c1f062bffc9eb02c1f911d449d8.docx


Find key?


2. Solution


먼저 문제의 워드 파일을 열어보니 스테가노그래피인 것 같아서 내부에 있는 이미지 파일을 가져오기 위해 zip형식으로 변환한 후, word\media에서 이미지들을 추출할 수 있었습니다.


헌데, emf 파일들이 찜찜해서 모두 Hex Editor로 보던 중, image6.emf 파일이 doc 파일임을 알 수 있었습니다.



파일을 열어보니 빨간 글씨로 2013이라고 적혀있는 것을 볼 수 있었습니다(위협).

 




이를 통해 doc steganography에 관한 정보를 찾던 중 New Steganographic Techniques for the OOXML File Format라는 OOXML형식의 파일 포맷에 대한 스테가노그래피 기법을 간략히 설명해놓은 PDF를 볼 수 있었습니다

(https://www.google.co.kr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDAQFjAA&url=http%3A%2F%2Fforensic.korea.ac.kr%2Fxe%2F%3Fmodule%3Dfile%26act%3DprocFileDownload%26file_srl%3D17283%26sid%3D1d210b83346fa16b7b1bb1abdc9bad6d&ei=sYYzUZfbILGujAKljoH4BQ&usg=AFQjCNGD8GagP1FiQNt_0rpkuXEXhOBXcA&bvm=bv.43148975,d.cGE&cad=rjt)


이 문서를 통해 ooXML 관련 Steganography 프로그램을 찾다가 ooXML Steganography UnHider라는 프로그램을 찾을  수 있었고 이를 이용하여 아래와 같이 문제를 해결할 수 있었습니다.



먼저, 아까 전 emf 파일로 위장한 워드 파일 쓰여있던 ‘2013’을 비밀번호로 넣고 Unhide하면 아래와 같은 텍스트가 나오게 되는데, 이 값이 바로 인증키가 됩니다.

 



Key : c0d2gate~2o13!!F0r2nsic!!!!!


이 외에도, 힌트를 통해 Extra Field 부분의 암호화된 데이터를 보고 해당 값을 메뉴얼 디크립션 시킬 수 있습니다.


자세한 방법은 http://deok9.org/?p=262 를 참고해주세요 ~_~



 









Posted by extr
:

1. Description


Download Link http://goo.gl/Wz00a


경찰청은 최근 아동 성폭력과 관련된 범죄를 소탕하기 위해 대대적인 계획을 세운다.


경찰청은 아동 성폭력 범죄들의 공통점이 아동에 대한 성적 내용이 들어간 동영상 또는 유사한 자료물에서 그 동기가 비롯된다는 것을 발견했다.


경찰청은 인터넷에 떠돌아 다니는 아동과 관련된 음란물을 대대적으로 수사하기 시작했고, 아동 음란물을 다운로드 받는 다운로더들을 일제히 검거/구속하기 시작했다.


어느날, 다운로더의 집을 급습하여 검거를 하였는데, 나중에 다운로더의 컴퓨터와 디지털 저장매체를 분석해 보니 아동 음란물은 완전삭제되어 있었다. 그래서 아동 음란물을 받은 흔적을 찾기 위해 증거들을 모두 분석하였지만 아동 음란물 다운로드에 대한 흔적은 존재하지 않았다.


경찰청은 분명 다운로더가 아동 음란물을 받는 것을 트랙픽 모니터링을 통해 확인 하였고, 해당 트래픽 또한 증거로 가지고 있으나 결정적인 증거가 없어 해당 다운로더를 기소하지 못하고 있다.

그래서 경찰청은 그대들에게 다음과 같이 요청한다.


"다운로더를 기소할 수 있는 결정적인 증거를 찾아주세요!"


Key format : SHA1("md5(Evidence File)_Download Time")


Download Time : KST, YYYY/MM/DD_HH:MM:SS



2. Solution


문제에서 요구하는 파일을 찾기 위해서 어디서 다운로드 되었나 생각 해보아야 하는데 인터넷 캐시는 없으므로 프로그램을 통해, 즉 Torrent 를 통해 받았음을 짐작할 수 있습니다.


어떤 파일을 받았는지 알아보기 위해 BEncoder를 이용해 uTorrent의 설정 파일을 열어보면 아래와 같이 다운로드 완료된 토렌트 파일의 위치를 알 수 있습니다.



해당 경로로 이동하여 파일을 생성시각을 동영상 다운로드 시각이라 생각하고 인증할 수 있었습니다.



결과적으로 위 파일의 MD5 체크 섬 값인 449529c93ef6477533be01459c7ee2b4D와, 생성 시각(또는 접근 시각) 2012/12/24 13:45:43을 통해 아래 값을 만들어 낼 수 있습니다.


SHA-1(449529c93ef6477533be01459c7ee2b4D_2012/12/24 13:45:43)


Key : 20789d8dae4efe2ece9194ef08b1c752c04b5e47








Posted by extr
:

1. Description


Download Link http://goo.gl/WKd8B


- 기업보안감사


A회사 보안팀은 내부직원 PC 자체보안감사 중 특정직원 PC에서 인터넷을 통해서 내부문서를 외부로 업로드한 흔적을 발견하였다. 

보안팀은 보안 위반 흔적을 더 찾기 위해 직원 스마트폰도 임의 제출을 받아 추가 흔적을 조사하였다.

내부문서의 정보를 찾아 정답을 입력하시오.


correct answer ex)

upload date&time(UTC+9:00)_modified date&time(UTC+9:00)_filename.extention_filesize(logicalfilesize)

2013-03-01 21:00:00_2013-04-03 10:00:50_sample.docx_100MB



2. Solution


아이폰 이미지 에서 유출된 문서를 찾으라는 문제입니다.


아이폰 어플 중 5BB3AF5D-01CC-45D9-947D-977DB30DD439 에서 Dropbox 라는 어플이 의심스러워서 찾던 도중 라이브러니 폴더에서 스냅샷을 찍은 사진이 있는 것을 보고, 이 파일이 유출된 문서라 추측하고 최종시간과 파일크기가 맞다고 생각 할 수 있습니다.


그리고 나서 Upload 폴더안에 sqlite 파일들을 읽어보면 MODIFIED 시간을 보면 그 파일의 수정 시간 인 것을 알 수 있습니다. 하지만, 시간 값이 온전하지 못한 것을 볼 수 있는데, 이를 MAC 타임스탬프로 변환 하면 수정시간이 2012-12-27 17:55:54 인 것을 알 수 있습니다.


그리고나서 업로드 시간은 Caches 폴더의 cache.db의 base64 를 디코딩 한 후 plist를 Oxygen을 이용해 읽어보면 그 업로드된 시간이 캐시 되어 남아있는 것을 알 수 있습니다.

 


Key : 2012-12-27 17:55:54 _2012-05-01 17:46:38 _S-Companysecurity.pdf_2.1MB


Posted by extr
: