Having accepted the Jensen case, Jack and his team install network taps and wireless capture devices in Mr. Jensen's business and home. During monitoring, Jack and his team discover an interesting suspect, Betty. This could be the woman Mrs. Jensen fears her husband is having an affair with. Jack assigns you the forensic analyst to look further into the information capture. You learn that a meeting has been setup.
1. What day of the week is the meeting scheduled for?
1번문제는 미팅 날짜가 잡혔다고 미팅 날짜가 언제인지 찾는 문제이다.
패킷의 내용이 아래와 같이 메세지를 주고 받은 내역이 나오게 되고, What day do you want to meet up? 다음 메시지부터 인코딩이 되어 나오게 된다.
x48, x6F등으로 구성되어 있는 것을 통해 헥사값이라는 것을 유추 할 수 있다. 헥사값을 통해 아스키 코드표와 대조를 시켜 비교해보면 내용이 출력된다.
따라서 전체 내용을 해독해보면
FLAG : Wednesday 2pm
Betty attempts to keep her tracks covered as she establishes a meeting location with Gregory.
2. What city are they meeting?
2번 문제는 만남의 장소가 어딘지 찾는 문제이다.
패킷을 분석해보면
메세지를 주고 받은 것을 확인할 수 있고 메세지 내용을 보면 패스워드를 주고 장소에서 기다리고 있겠다고 한다.
그리고 답장으로 패스워드를 받았고 그곳에서 기다린다는 이야기도 하게 된다.
3번째 메시지를 확인해보면 DCC Send라는 패킷이 나오게 되는데 이걸 구글에 검색해 찾아보니 위키에 아래와 같은 내용을 찾을 수 있었다.
따라서 패킷의 내용이 파일이름 ip 포트 파일사이즈 를 뜻한다는 것을 알 수 있었다.
따라서 카빙을 하기위해 와이어 샤크를 통해 확인을 해 1024 포트를 찾았더니 하나의 패킷만 찾을 수 있었다. 따라서 그 패킷을 카빙을 한다.
카빙을 해도 아무 것을 알 수가 없는데 그것은 TrueCrypt라는 것으로 감춰져 있기 때문이다. (힌트를 통해서 알았다.)
그러므로 TrueCrypt를 실행해 주어진 패스워드를 치고 마운트를 하면 감춰진 파일들을 찾을 수 있다.
사진 파일과 텍스트 파일은 아래와 같다.
FLAG : LAS VEGAS
Gregory is hesitant to meet with the mysterious Betty. While working late in the office, Gregory hears his phone ring. He checks his phone and knows he has no choice but to attend the meeting with Betty.
3. What will Gregory die form, if he fails to meet with Betty?
3번 문제는 그레고리가 베티를 만나지 못하면 어떻게 죽게 되는지를 찾는 문제이다.
문제를 보면 그레고리의 전화가 울렸다고 한다. 그리고 전화를 확인하고 그는 베티를 만나야한다고 알았다고 한다.
그렇다면 핸드폰으로 문자메시지나 무언가를 봤을 것이다. 패킷을 분석해보면 mms가 나오는 것을 확인 할 수 있다.
따라서 와이어 샤크를 통해 패킷을 확인해보면 mp4형식의 파일이 오고갔나 의심해 볼 수 있다.
그렇다는 것은 mp4형식의 시그니처를 확인해서 관련 정보가 있나 확인해 볼 필요가 있다.
mp4의 시그니처는 00 00 00 18 66 74 79 70 으로 시작하게 되는데 위의 패킷 내용에 시그니처가 포함되어 있는 것을 확인 할 수 있다.
따라서 카빙을 완성시키고 나면 무엇 때문에 죽는지 알 수 있는 동영상을 시청할 수 있다.
FLAG : DYSENTTERY
Gregory, still unsure of Betty's true identity, meets with a group identifying themselves as Betty's Associates. They gave him a list of demands including numbers to bank accounts, and additional secret documents. Betty's Associates told Gregory he will be provided with information regarding the delivery of the goods.
4. What is the password provided to Gregory?
4번 문제는 그레고리에게 주어진 패스워드를 찾는 것이다.
패킷을 분석해보자.
패킷을 분석해보면 xml파일 형식을 가진 메세지를 추가해 이야기를 나눈것을 확인해 볼 수 있다.
이 메시지 안에 들어있는 코드는 KML이라는 코드라는 것을 검색과 힌트를 통해 알 수 있었다.
문제를 풀기위해 열심히 KML가이드도 읽고 예제도 따라해 보고 해보니...
메시지 안에 있는 코드 내용이 경로를 나타내는 것과 비슷한 구조로 되어있어 경로를 나타내는 것을 통해 FLAG를 찾을 수 있겠구나 라는 생각을 했다.
하지만 주어진 코드 그대로 실행해 보게 되면 아래와 같은 오류가 발생하게 되는데 그 이유는 메시지 속의 코드에 \가 중간중간 들어가 있는데 이것들을 다 지워주고 넣어주어야 한다.
따라서 이 코드들을 넣어주게 되면 아래와 같이 경로를 통한 메시지를 확인 할 수 있다.
FLAG : BRUTUS
Gregory is missing! He was supposed to meet up with Betty and deliver the goods. After that, the trail quickly goes cold. A strange shipment has arrived to the offices of Rock Solid Investigations. Jack Stone opens the package and discovers a note and a cell phone. Jack immediately sends the cell phone to you, the forensic investigator.
5. What happened to Gregory?
5번 문제는 zip파일을 하나 주는데 그속에서 그레고리가 어떻게 됐는지(왜 배달을 안했는지) 찾는 것이 였다.
주어진 것의 압축을 풀어 보니 핸드폰 폴더 트리가 나오고 패킷들도 몇개 있고 한데...
패킷들의 내용들은 다 별거 없는 것 같고 유저데이터 부분에 들어가니 사진이 한장 있었는데 그 사진은 아래와 같다.
피흘리는건 없어서 죽었는지 기절했는지 자는건지는 확실하지 않다.
FLAG : DIE or SLEEP
Mrs. Jensen decides to look further into this strange email. She decides to check her account balances to ensure she still has access to her accounts.
6. How many bytes of data is the malicious payload?
6번 문제는 메일을 유심히 살펴보고 계좌의 잔액을 확인해 봤다는 이야기로 악성코드의 바이트수를 찾으라는 문제이다.
(문제를 통해서 메일로 온 것을 확인했고, 메일을 읽고 계좌확인 사이트로 이동을 해서 확인을 했을 가능성이 높다.)
패킷을 분석 해보자
패킷 파일을 분석해보니 바로 알약에서 트로이목마가 있다는 것을 알려준다.
페이로드는 헤더 부분 같은 것을 다 제외하고 데이터 부분만을 뜻하는데 분석 파일을 보면 Size가 3113Bytes라고 나와있다.
하지만 정확히 이것이 맞는지 확인하기가 어려워 편집기와 와이어샤크를 통해서 다시 한번 확인을 해보았다.
HTTP를 통해 이루어졌으므로 와이어샤크에서 HTTP를 추출해 검색해 본다.
아래와 같이 바로 전송받았던 악성코드를 확인 할 수 있었고, Size는 분석했던 것과 동일 했다.
Atom 편집기로도 3113의 characters를 가졌다는 것을 확인할 수 있었다.
FLAG : 3113
Mrs. Jensen decides to look further into this strange email. She decides to check her account balances to ensure she still has access to her accounts.
7. What is the URL of the false(Malicious) web page Victoria is directed to?
7번 문제는 6번 문제와 내용이 똑같다. 6번은 악성코드의 페이로드를 찾으라고 했고 7번은 그걸 유포한 URL이 뭔지 찾으라고 한다.
문제를 통해서 메일로 온 것을 확인했고, 메일을 읽고 계좌확인 사이트로 이동을 해서 확인을 했을 가능성이 높다.
따라서 패킷을 분석해보면
아래와 같이 sofa.bankofamerica.com 을 전후로 비슷한 URL인데 이상하게 tt가 껴있는 URL을 확인해 볼 수 있다.
이것이 수상하다. (힌트에서 .net이라고 한것과도 맞물린다.)
앞서 찾은 패킷의 내용을 보면 스크립트가 짜져있는 것을 확인해 볼 수도 있다.
FLAG : bankofamerica.tt.omtrdc.net
