Puzzle #1 Ann's Bad AIM 다시 풀어보기

forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim

Puzzle #1: Ann’s Bad AIM – Network Forensics Puzzle Contest

너무 심심해서 오랜만에 퍼즐 문제를 풀어보기로 했다.~

이제보니 문제가 11년전꺼네 완전 구닥다리

Anarchy-R-Us, Inc. suspects that one of their employees, Ann Dercover, is really a secret agent working for their competitor. 

Ann has access to the company’s prize asset, the secret recipe. 

Security staff are worried that Ann may try to leak the company’s secret recipe.

Security staff have been monitoring Ann’s activity for some time, but haven’t found anything suspicious– until now. 

Today an unexpected laptop briefly appeared on the company wireless network. 

Staff hypothesize it may have been someone in the parking lot, because no strangers were seen in the building. 

Ann’s computer, (192.168.1.158) sent IMs over the wireless network to this computer. 

The rogue laptop disappeared shortly thereafter.

“We have a packet capture of the activity,” said security staff, “but we can’t figure out what’s going on. Can you help?”

You are the forensic investigator. 

Your mission is to figure out who Ann was IM-ing, what she sent, and recover evidence including:

1. What is the name of Ann’s IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?
6. What is the secret recipe?

뭐 대충 Ann이란 사람이 수상하다,

Ann이 시크릿 레시피 -☆를 훔친 것 같다,

Ann의 아이피 주소와 캡쳐한 패킷을 줄테니 이를 분석해달라 라는 것 같음

---

1. What is the name of Ann’s IM buddy?

Ann의 ip 주소가 192.168.1.158 이랬으니까 이거로 검색

SSL 도 있고 TCP도 있고~

흠

몰랐는데 AIM 이라는 프로토콜이 있다.

AOL 인스턴트 메신저 (AOL Instant Messenger, AIM) 라는 인스턴트 메신저 프로그램이고, TCP 사용

와이어샤크에서 decode 할 수 있음 

Analyze - Decode as 들어가서

이렇게 설정을 해준다

그럼 이렇게 프로토콜이 몇개 AIM Messaging 으로 바뀐 것을 확인할 수 있다.

거 참 신기하고만

그 중 한 패킷을 골라 잘 살펴보면 문제에서 요구한 Buddy Name이 나와있다.

Buddy Name은 Sec558user1

---

2. What was the first comment in the captured IM conversation?

두번 째 문제는 1번에서 decode 한 패킷 내 대화 내용을 찾으라는 것 같다.

메시지에 떡 하니 나와있음

답은 Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go ~~

---

3. What is the name of the file Ann transferred?

Ann이 전송한 파일 이름은 무엇일까요

사실 패킷만 봐도 대강 알 수 있긴 하다만.. 정확히 하는게 좋으니 ...

이렇게 전송된 파일, 이미지 등을 확인하려면 NetworkMiner 도구를 사용해주면 좋다.

관리자 권한으로 실행해야 전송한 파일 목록이 나온다

호스트 아이피 주소도 에이미 꺼 맞고, 

패킷 스트림에서 보였던 recipe.docx도 보인당

또 패킷 스트림 번호가 112번인 것도 알수있음

정답은 recipe.docx

---

4. What is the magic number of the file you want to extract (first four bytes)?

흐음 이 파일을 추출해서 매직넘버를 알아내야하는건가 

고민

3번에서 recipe.docx 파일을 전송할 때 패킷 스트림 번호가 112번인 것을 확인했음.

마우스 휠 윙윙 돌리면서 노간지로 찾지 말고 필터링으로 찾자

frame.number == 112 로 필터링해서 112번째 패킷 찾고

패킷 열어서 raw로 바꾼다음에 recipe.docx 로 저장해준다

hxd로 열어보니 바로 매직 넘버를 알 수 있다.

답은 50 4B 03 04

---

5. What was the MD5sum of the file?

이 파일의 해시값을 구해줘야한다

HXD에서 분석 - 체크섬 

여기서 문제에서 제시한 MD-5 체크하구 수락

이렇게 해시값이 뜬다.

정답은 

52C13D8C0A99AC0D3210E8E8EDB046BF

라고 하려했는데

답이 틀렸길래 당황

알고보니 PK 전에 붙어있는 헤더들을 전부 없애줘야했다

귀찮아서 그냥 네트워크 마이너로 추출한 파일 넣어줬더니 잘 나옴

답은 8350582774E1D4DBE1D61D64C89E0EA1

---

6. What is the secret recipe?

추출한 워드 파일 보면 나옴

Recipe for Disaster:

1 serving

Ingredients:

4 cups sugar

2 cups water

In a medium saucepan, bring the water to a boil. Add sugar. Stir gently over low heat until sugar is fully dissolved. Remove  the  saucepan from heat.  Allow to cool completely. Pour into gas tank. Repeat as necessary.