Puzzle #2 Ann Skips Bail

첫번째꺼는 기억도 더듬더듬 나고 쉽게 호로록 풀었다

바로 다음 문제~

forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail

Puzzle #2: Ann Skips Bail – Network Forensics Puzzle Contest

After being released on bail, Ann Dercover disappears! 

Fortunately, investigators were carefully monitoring her network activity before she skipped town.

“We believe Ann may have communicated with her secret lover, Mr. X, before she left,” says the police chief. “The packet capture may contain clues to her whereabouts.”

You are the forensic investigator. 

Your mission is to figure out what Ann emailed, where she went, and recover evidence including:

1. What is Ann’s email address?
2. What is Ann’s email password?
3. What is Ann’s secret lover’s email address?
4. What two items did Ann tell her secret lover to bring?
5. What is the NAME of the attachment Ann sent to her secret lover?
6. What is the MD5sum of the attachment Ann sent to her secret lover?
7. In what CITY and COUNTRY is their rendez-vous point?
8. What is the MD5sum of the image embedded in the document?

머 대충 Ann의 이메일을 분석하는 것으로 보임.~~...

---

1. What is Ann’s email address?

보아하니 보자보자 이메일을 분석해야한다

따라서 이번 기회에 해당 패킷에서 사용한 대표적인 이메일 프로토콜 , SMTP 에 대해 정리해봐야지

SMTP란,

Simple Mail Transfer Portocol의 약자로 인터넷에서 메일을 보내기 위해 이용하는 프로토콜 (TCP#25) - 응용계층

RFC 821

1. EHLO - 인사, SMTP 확장 기능에서 사용

2. MAIL - 송신자 주소

3. RCPT - 수신자 누구?

4. AUTH - 인증

실행파일 / 이진 데이터를 text로 변환해 전송하고

특정 크기 이상의 메일은 거부한다. 정말 흥미롭네요.

뭐 대충 보안기사 공부할 때 내용이 기억났으니 제공된 패킷 파일을 분석해보겠다.

#56 3-way-handshaking 을 거치고 코드 220을 주고 주비 되었다는 것을 응답함

#57 클라이언트 -> 호스트 EHLO 전송해서 인사 

(HELO - 표준 SMTP 세션 시작

EHLO - 메일 서비스 확장을 지원하는 SMTP 세션 시작)

# 69 MAIL FROM 은 송신자 주소

# 71 SMTP의 승인

# 72 RCPT TO 는 수신자 주소

# 75 데이터 전송

# 77 서버는 354 START MAIL INPUT으로 응답, 이를 받은 클라이언트는 이메일 전송

# 83 이메일 전송이 끝나면 QUIT

결론적으로 Ann(송신자) 의 이메일 주소는 sneakyg33k@aol.com

---

2. What is Ann’s email password?

패킷을 잘 살펴보니 아주 수상한 구간이 있다.

로그인 - 어쩌구 - 저쩌구 - 어쩌구 - 저쩌구 - 성공

하는걸 보니 저기가 id 와 패스워드 일 것 같음

형식이 뭔가 base64 일 것 같아서 decoding 해보니

역시 내 예상이 맞았군

Username : sneakyg33k@aol.com

Password : 558r00lz

앞서 찾은 Ann의 이메일 주소도 있으니 패스워드가 확실한듯

패스워드는 558r00lz

---

3. What is Ann’s secret lover’s email address?

Ann의 이메일 주소는 알았고, 이제 상대방의 이메일 주소를 알아내야한다.

MAIL FROM 에 Ann의 이메일 주소 나와있고, (송신자) -> 250 OK 받음

250 OK는 요청된 메일이 정상적으로 완료되었다는 코드!

RCPT TO 는 수신자고, 마찬가지로 250OK 받음

따라서 sec558@gmail.com 이 수신자 이메일 주소인가? 싶기도 한데 내용을 자세히 살펴보면

흠 이게 애인과 대화 내용인가 약간 의심스러움

다음 스트림으로 넘겨볼까

다음 대화내용에서는 아주 대놓고 자기야 여권이랑 수영복 챙겨와 사랑해 이러고있음

받는 사람 이름도 mistersecretx@aol.com (누가봐도수상해)

따라서, Ann의 비밀 애인 이메일 주소는 mistersecretx@aol.com

---

4. What two items did Ann tell her secret lover to bring?

오 아까 본거다

가짜 여권이랑, 수용복 챙겨오라고 했음

정답은 fake passport, bathing suit

---

5. What is the NAME of the attachment Ann sent to her secret lover?

전송된 파일 명을 확인해야한다.

이것도 networkminer 사용하면 쉽게해결가능!

557번째 패킷의 secretrendezvous.docx 파일이 제일 의심스럽다. 

파일 이름의 rendezvous = 특정한 시각과 장소에서 밀회하는 것

파일이름이 비밀밀회장소.docx ㅋㅋ 누가봐도 수상하잖아요

와이어샤크에서 557번째 패킷을 확인해보자

557번 패킷의 Encapsulated multipart 영역에서 동일한 파일명을 찾을 수 있었다.

따라서 정답은 secredrendezvous.docx

---

6. What is the MD5sum of the attachment Ann sent to her secret lover?

5번에서 찾은 파일을 추출해, MD5 해시값을 계산해야한다.

networkminer의 파일 추출 기능으로 쉽게 확인 가능하나, 

이메일을 주고받은 패킷이므로 eml로 저장해서 이메일을 확인해보겠다.

이메일 주고받은 패킷 -> save as -> 확장자 eml로 저장

그럼 이렇게 좀더 직관적으로 볼 수도 있고,

첨부된 파일도 바로 확인가능하다.

docx 파일을 다운로드 받아보자

---

7. In what CITY and COUNTRY is their rendez-vous point?

eml로 저장하고 나서 얻은 docx파일을 열어보았더니 다음과 같다.

지도 이미지에 어디서 만날지 써있다.

정답은 playa del Carmen, Mexico

---

8. What is the MD5sum of the image embedded in the document?

docx 파일에 첨부된 이미지 파일의 해시값을 알아내야한다.

여기서, 그냥 무턱대고 이미지 다운로드 받아서 해시값 계산하면 안된다. 다른 해시값 뜸.

여기서 기억해야 할 것은 docx 파일은 사실 압축파일이란 것이다,,,,

확장자를 zip로 바꾸면 압축 파일로 바뀜

해당 압축 파일을 잘 탐색하면 첨부된 이미지 파일을 확인할 수 있다.

이거로 해시값 구하면 됨

정답은 AADEACE50997B1BA24B09AC2EF1940B7