[CODEGATE2013] Forensics 100

1. Description

Download Link http://goo.gl/WKd8B

- 기업보안감사

A회사 보안팀은 내부직원 PC 자체보안감사 중 특정직원 PC에서 인터넷을 통해서 내부문서를 외부로 업로드한 흔적을 발견하였다. 

보안팀은 보안 위반 흔적을 더 찾기 위해 직원 스마트폰도 임의 제출을 받아 추가 흔적을 조사하였다.

내부문서의 정보를 찾아 정답을 입력하시오.

correct answer ex)

upload date&time(UTC+9:00)_modified date&time(UTC+9:00)_filename.extention_filesize(logicalfilesize)

2013-03-01 21:00:00_2013-04-03 10:00:50_sample.docx_100MB

2. Solution

아이폰 이미지 에서 유출된 문서를 찾으라는 문제입니다.

아이폰 어플 중 5BB3AF5D-01CC-45D9-947D-977DB30DD439 에서 Dropbox 라는 어플이 의심스러워서 찾던 도중 라이브러니 폴더에서 스냅샷을 찍은 사진이 있는 것을 보고, 이 파일이 유출된 문서라 추측하고 최종시간과 파일크기가 맞다고 생각 할 수 있습니다.

그리고 나서 Upload 폴더안에 sqlite 파일들을 읽어보면 MODIFIED 시간을 보면 그 파일의 수정 시간 인 것을 알 수 있습니다. 하지만, 시간 값이 온전하지 못한 것을 볼 수 있는데, 이를 MAC 타임스탬프로 변환 하면 수정시간이 2012-12-27 17:55:54 인 것을 알 수 있습니다.

그리고나서 업로드 시간은 Caches 폴더의 cache.db의 base64 를 디코딩 한 후 plist를 Oxygen을 이용해 읽어보면 그 업로드된 시간이 캐시 되어 남아있는 것을 알 수 있습니다.

 

Key : 2012-12-27 17:55:54 _2012-05-01 17:46:38 _S-Companysecurity.pdf_2.1MB