[CODEGATE2013] Forensics 300

1. Description

Download Link http://58.229.122.11/ce5a4c1f062bffc9eb02c1f911d449d8.docx

Find key?

2. Solution

먼저 문제의 워드 파일을 열어보니 스테가노그래피인 것 같아서 내부에 있는 이미지 파일을 가져오기 위해 zip형식으로 변환한 후, word\media에서 이미지들을 추출할 수 있었습니다.

헌데, emf 파일들이 찜찜해서 모두 Hex Editor로 보던 중, image6.emf 파일이 doc 파일임을 알 수 있었습니다.

파일을 열어보니 빨간 글씨로 2013이라고 적혀있는 것을 볼 수 있었습니다(위협).

 

이를 통해 doc steganography에 관한 정보를 찾던 중 New Steganographic Techniques for the OOXML File Format라는 OOXML형식의 파일 포맷에 대한 스테가노그래피 기법을 간략히 설명해놓은 PDF를 볼 수 있었습니다

(https://www.google.co.kr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDAQFjAA&url=http%3A%2F%2Fforensic.korea.ac.kr%2Fxe%2F%3Fmodule%3Dfile%26act%3DprocFileDownload%26file_srl%3D17283%26sid%3D1d210b83346fa16b7b1bb1abdc9bad6d&ei=sYYzUZfbILGujAKljoH4BQ&usg=AFQjCNGD8GagP1FiQNt_0rpkuXEXhOBXcA&bvm=bv.43148975,d.cGE&cad=rjt)

이 문서를 통해 ooXML 관련 Steganography 프로그램을 찾다가 ooXML Steganography UnHider라는 프로그램을 찾을  수 있었고 이를 이용하여 아래와 같이 문제를 해결할 수 있었습니다.

먼저, 아까 전 emf 파일로 위장한 워드 파일 쓰여있던 ‘2013’을 비밀번호로 넣고 Unhide하면 아래와 같은 텍스트가 나오게 되는데, 이 값이 바로 인증키가 됩니다.

 

Key : c0d2gate~2o13!!F0r2nsic!!!!!

이 외에도, 힌트를 통해 Extra Field 부분의 암호화된 데이터를 보고 해당 값을 메뉴얼 디크립션 시킬 수 있습니다.

자세한 방법은 http://deok9.org/?p=262 를 참고해주세요 ~_~