[SuNiNaTas] 써니나타스 29번 - FORENSICS

URL은 다음과 같다.

http://suninatas.com/challenge/web29/web29.asp

Game 29

---

해결책

 

문제가 딱 봐도 재미있어 보인다. 각각의 Q를 29-N으로 나누어 단계별로 공략해보자

우선은 자료다운이 먼저이다. 필자도 글을 작성하며 지금 다운로드하고 있는데, 사이즈를 보아하니 vm이나 메모리 덤프가 아닐까 싶다. 

으흠; egg파일이다. 압축이 되어있는걸 풀어보자

오호; 가상파일이다. vmdk이니, vmware로 열어도 좋지만, vmware가 없는 필자는 virtual box변환 후 문제를 해결해 보겠다.

 

들어가면 로그오프가 우리를 반겨준다. 우선 꺼주자

---

29-1Q. 웹서핑은 잘 되는데, 네이버에만 들어가면 사이버 경찰청 차단 화면으로 넘어간다. 원인을 찾으면 key가 보인다.>> hosts의 변조가 의심된다. hosts 파일은 ip와 name의 변환을 로컬로 해주는 파일로 우선순위가 낮지만, 당연히 이름 변환에 활용되는 파일이다. 

 

C:\Windows\System32\drivers\hosts를 확인하자

* hosts.txt라는 속임수 파일이 하나 있다. hosts는 확장자없는 시스템 파일로, 폴더 옵션을 통하여 시스템 파일을 볼 수 있게 하도록 한 다음 접근하자

29-1A. what_the_he11_1s_keey

---

29-2Q. 유성준이 설치 해 놓은 키로거의 절대경로 및 파일명은?(모두 소문자)
- ex) c:\windows\notepad.exe

 

KEYLOGGER는 사용자의 입력을 hooking 하는 맬웨어로 분명 시스템이 부팅된 이후 바로 동작이 지시되었을 터이니, 레지스트리 RUN 혹은 RunOnce 아니면 msconfig의 시작프로그램에 그 경로가 적혀있을 것이다. 다행히 예상이 맞았다.

29-2A. C:\v196vv8\v1tvr0.exe

---

29-3Q. 키로거가 다운로드된 시간은?
- ex) 2016-05-27_22:00:00 (yyyy-mm-dd_hh:mm:ss)

 

웹로그를 뜯어라는 문제이다. 브라우저가 여러 가지 있나 돌아다녀 보았는데, Internet Explorer밖에 없다는 결론을 내렸다.(고마워요 Window7) index.dat을 분석해야 하지만, 바이너리 형식이기에 가시적으로 읽을 수는 없다. index.dat Analyzer를 다운로드하여서 분석해보자 대놓고 keylogger라는 놈을 다운로드한다.

29-3A. 2016-05-24_04:25:06

---

29-4Q. 키로거를 통해서 알아내고자 했던 내용은 무엇인가? 내용을 찾으면 Key가 보인다.

Keyloggger가 설치된 경로로 가보면 일자별로 s1.dat과 w1.dat라는 파일이 존재한다. s1.dat은 키로그 된 스트링의 전송기록이며, w1.dat은 hook 된 스트링이다. 안쪽에서 Flag를 찾을 수 있다.

29-4A. blackkey is a Good man

---

좋은 포렌식 문제였다. 빨리 다음 문제로 넘어가자