[SuNiNaTaS] Forensic_29

문제
http://suninatas.com/challenge/web29/web29.asp

유준혁은 PC가 고장나서 형 유성준에게 PC를 고쳐 달라고 했다.
그런데, 유성준은 동생의 PC를 고치면서 몇 가지 장난을 했다.
당신은 이 PC를 정상으로 돌려 놓아야 한다.

1. 웹 서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 Key가 보인다.
2. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자)
- ex) c:\windows\notepad.exe
3. 키로거가 다운로드 된 시간은?
- ex) 2016-05-27_22:00:00 (yyyy-mm-dd_hh:mm:ss)
4. 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾으면 Key가 보인다.

인증키 형식 : lowercase(MD5(1번키+2번답+3번답+4번키))

 

풀이

1. 문제 파일 확인

주어진 파일 시그니처를 보면 .egg 파일인 것을 확인할 수 있다.

 

2. 네이버에만 들어가면 경찰청 차단 화면으로 넘어가는 문제

hosts 파일의 역할은 도메인을 입력했을 때 지정한 ip로 넘어가도록하는 데에 있다. 따라서, 우선 이 파일을 수정하여 www.naver.com을 입력할 할 경우 경찰청 차단 화면이 나오는 곳으로 이동하게끔 설정하지 않았을까 추측해보았다. 해당 경로에서 확인한 결과, hosts파일과, hosts.txt 파일이 존재했다. 텍스트 파일은 본래 존재하지 않아야 하는 파일이며, 수정 시간을 봤을 때 hosts 파일과 1분 밖에 차이나지 않는 것으로 보아 사용자가 무언가를 의도했음을 알 수 있었다.

 

 

각각의 파일을 열어본 결과(hosts 파일은 txt로 변경 후 열기) 추측한 대로 hosts 파일에 네이버에 대한 특정 ip가 설정되어 있었고, 문제에서 요구한 키 값 역시 확인할 수 있었다.

 

답: what_the_he11_1s_keey

 

3. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명

폴더 옵션에서 숨김 파일을 볼 수 있도록 설정한 후, 숨겨졌던 v196vv8이라는 폴더를 발견할 수 있었다. C:\v196vv8\v1valv\Computer1\24052016 #training\ss 에서 2016년 5월 24일 경에 컴퓨터를 사용한 다수의 흔적(캡쳐 파일) 찾았고, 그 중 아래와 같이 키로거로 보이는 파일을 확인할 수 있었다. 캡처 사진들을 이어서 보면 이 파일이 키로거임을 짐작할 수 있다.

답: c:\v196vv8\v1tvr0.exe

 

4. 키로거가 다운로드 된 시간

사실, 처음에는 캡처 사진들에서 아래 파일들을 다운 받은 흔적이 있길래 위 문제서 말하는 키로거 파일이 아래 두개라고 생각했다. 하지만, '키로거로서 작동하는 것'은 위 파일이다. *아래 파일들과 위 파일의 관계를 정확히 정리해볼 필요가 있음.

 

먼저, Internet Explorer의 다운로드 기록에서 아래와 같이 두 가지 파일이 다운로드된 흔적을 볼 수 있었다. 다만, 파일명을 보면 자주 사용하는 분석 도구이고, 다운로드를 한 위치 또한 이상함이 없었기 때문에 아래 파일들이 분석도구로 위장한 키로거라고 보기에는 힘들었다.(winprefetch의 경우 캡처 사진에서 해당 ip 내에 있는 파일들을 확인할 수 있었으나, 해당 파일이 키로거로 의심되기에는 애매했음)

그 다음으로, C:\Users\[사용자명]\AppData\Local\Temp 경로를 확인했다. 해당 위치는 Windows 시스템 및 사용자 프로그램들이 사용하는 임시 파일들을 저장하는 공간으로, 웹 브라우저가 다운로드 한 파일이나 웹사이트의 임시파일들이 저장될 수 있다. 아래와 같이 키로거 관련 파일을 확인 할 수 있었다. 

 

다만, 둘 중 어떤 파일인지 명확하지 않아 내부를 봤는데, 하나는 PE 형식이고 다른 하나는 UPX 패킹된 상태였기 때문에 상대적으로 탐지나 분석이 어려운 패킹 파일이 의도한 답일 것 같다고 생각했다. *정확한 근거 필요

 

index.dat 파일을 FTK Imager로 추출하여 pc-spy-2010-keylogger-surveillance-spy-3.exe 파일의 생성시간 즉, 다운로드 시간을 알아냈다.

🤔 그런데 위에서 확인한 캡처 사진들을 보면 spyboss-keylogger-pro-4.6.0.147.exe 파일 역시 다운로드 했음을 알 수 있는데, 왜 index.dat 파일에는 기록이 없는 건지 의문이다. *의문 해결할 것 + 파일 탐색기 설정으로 파일 다 보이게끔 했는데도 index.dat 파일이 있는 History.IE5 폴더가 안 보이는 이유도 정리하기

 

답: 2016-05-24_04:25:06

 

5. 키로거를 통해서 알아내고자 했던 내용

아래의 경로의 z1.dat 파일을 텍스트 파일로 수정해보니, 키로거를 통해 알아낸 입력한 키들에 대한 정보를 확인할 수 있었다.

답: blackkey is a Good man

 

정답

what_the_he11_1s_keeyc:\v196vv8\v1tvr0.exe2016-05-24_04:25:06blackkey is a Good man
MD5: cc5296b0d30a0bc77a54679a7ad447ea