네트워크4 [Network] Sans Network Forensic [Puzzle 3] #3 Ann과 Mr.X는 새로운 보금자리를 마련했다. 범인 인도 서류가 통과되기를 기다리는 동안 당신과 수사관들은 비밀리에 Ann의 활동을 감시하고 있다. Ann은 최근에 새 AppleTV를 구입했으며, 192.168.1.10의 IP주소를 사용하고 있다. 당신은 Ann이 검색한 내용과 그녀의 관심사에 대해 정보를 수집해야한다. #3. Appletv를 통해 Ann이 검색한 첫 4개의 검색 내용은 무엇인가? KEY Format : a, b, c, d 와이어샤크(wireshark)를 이용해 열어주면 위와 같은 화면이 나온다. 우리는 여기서 Ann이 입력해서 전송한 검색내용을 찾아봐야 한다. 와이어샤크 상단의 [File->Export Objects->HTTP] 로 들어가준다. [Export Objects]는 프로토콜.. 2020. 10. 25. [Network] DefCoN#21 #6 오늘의 문제는 악성 페이로드의 용량을 찾는 문제이다. 제일 먼저 round6.pcap 을 와이어샤크에서 열어봤지만 별다른 수확물이 없었다. 그러니 Networkminer.exe를 사용해보자! ※ 페이로드 (payload) : 사용에 있어서 전송되는 데이터로, 보안 분야에서는 멀웨어의 일부를 뜻한다. 우리는 전송된 데이터 중 멀웨어를 찾아야 한다. NetworkMiner에서 이 파일을 연 뒤, Files에 들어가면 6개의 파일이 전송되었다는 것을 알 수 있다. Extension을 보면 4개는 cer 이라고 표시되어 있는데, cer은 SSL 인증서의 파일 포맷 종류이다. 맨 아래의 favicon.ico에서 ico는 아이콘 파일임을 의미한다. 총 6개의 파일 중 5개의 파일들이 인증서와 관련된 파일들로, 우클.. 2020. 8. 1. [Network] DefCoN#21 #5 오늘의 문제다. 이미 다 푼 상태에서 하는 말이지만 이번 문제 너무 현타와요... 문제에서 제시된 압축파일을 풀면 위와 같이 Dump 폴더와 log.txt 파일이 주어진다. Dump 폴더를 하나하나 분석해보았고, Cache 파일들은 우선 다 뛰어넘겼다. round5\Dump\mnt\sdcard 의 경로로 들어가면 pcap 파일이 있어 와이어샤크로 열어보았지만 그다지 좋은 결과물을 얻지는 못했다. \round5\Dump\HWUserData 의 pcap 파일들도 마찬가지다. 위 폴더에 들어가게 되면 다양한 사진들이 나오는데 여기서 나온 글자들을 다 입력해보았지만 실패했다. round5\Dump\mnt\sdcard\DCIM\Camera 경로로 들어가면 카메라로 찍은 걸로 유추되는 사진이 나온다. 쓰러져 있는 .. 2020. 7. 20. [Network] DefCoN#21 #3 오늘의 문제!!! 문제에서 제시된 자료를 다운받고 와이어샤크로 열어보면 엄청나게 많은 패킷이 들어있는 것을 볼 수 있다 File->Export Objects->HTTP로 열어보았다. 이 기능은 HTTP로 주고 받은 파일들을 나열해준다. Content Type 란을 보면 다 HTML 관련 내용임을 알 수 있는데, 패킷 넘버 390,480번의 mmsc.cingular.com만 mms-message로 다른 내용인 것을 확인 할 수 있다. 다시 패킷캡처창으로 넘어와서 390번 패킷의 내용을 확인해보자. Follow->TCP Stream으로 창을 켜서 확인해보았다. 저장해준 폴더에 들어가서 파일 확장자로 .mp4로 변경한 뒤 열어보았으나 실행되지 않았다. 그 이유는 바로 이름바꾸기로 변경한 확장자는 맞았으나, 파.. 2020. 7. 5. 이전 1 다음
