[ctf-d.com] DefCoN#21 #2

문제이다. round.pcap를 와이어샤크를 통해 확인한다.

[Statistics] - [Conversations] 기능으로 통신 기록을 살펴본다.

1024번 포트로 패킷이 전송된 것을 확인하였다.

1번 문제에서 사용하였던 와이어샤크의 TCP Stream을 통해 살펴보자.

방대한 양의 패킷이 전송되기 때문에 암호화가 되어있다.

NetworkMiner 툴을 통해 확인한다.

이 툴은 각 호스트에 대한 단말의 통합적인 정보를 표현해주기 때문에 분석자가 분석하기 매우 편하다. PCAP 확장자 파일에서 전송된 파일 및 인증서를 다시 생성/재구성 한다. 

Betty가 Greg에게 보낸 편지 내용을 보면 비밀번호가 있다.

비밀번호: S3cr3tVV34pOn

두 번째 메시지를 보면 특별한 내용은 없다.

세 번째 문자를 보면 문자열이 보인다.

DCC SEND r3nd3zv0us 2887582002 1024 819200

DCC SEND에 대해 알아보자.

DCC SEND: IRC 관련 프로토콜로, 파일을 교환할 때 사용한다. 단말기 대 단말기 통신을 위해 사용되는 프로토콜이다.

 

file name: r3nd3zv0us

ip: 2887582002

port: 1024

file size: 819200

Raw 데이터로 저장하였다. VeraCrypt 툴을 이용하여 복호화한다.

VeraCrypt 란, 파일 안에 암호화된 가상 디스크를 만들거나 파티션이라든지 완전한 기억 장치를 사전 부팅 인증응 사용하여 암호화할 수 있다.

아까 확인한 비밀번호를 입력하고 마운트를 계속 진행한다.

 

두 개의 파일이 생성되었다.

메모장의 내용이다.

찾은 사진이다.

 

이들은 LAS VEGAS에서 만나기로 하였다.