sweetchip's blog


순천향대 정보보호 페스티벌 Write-Up - Forensic 1


포렌식 부분 첫번째 문제입니다.


리눅스와 맥os 에 대한 시스템에 대해서 알고 있어야 하는 문제인데, 몰라서 상당히 해멧습니다.


구글의 힘을 빌려서 검색을 얻고 문제 풀이에 성공했습니다.


문제 :


SCH 도서관의 컴퓨터를 누군가가 해킹 했다!!

단 한명의 용의자가 있는데....
용의자의 컴퓨터를 이용해 용의자가 공격에 사용한 USB를 찾아내어
해킹한 시간을 알아내라


Key : lowercase(MD5("USB Connect Time"_"Serial Number"_"Vendor ID"))
예) MD5(MMDDHHmmss_123456789_0x1234) 해서 나온 결과를 소문자로 변환하여 인증


이제 시작합니다




파일은 상당히 많이 주어집니다.


아마 로그파일을 통째로 주어지는데 문제에서는 usb 를 이용했다고 하니


usb를 접촉한 로그가 남겨지는 messages[리눅스], kernel.log[맥] 로그들을 살펴보겠습니다.


일단 저는 문제를 풀때 여러가지 상황을 생각했습니다.


1. usb를 이용한 remote 에서의 공격

2. usb 를 이용한 local 에서의 공격

등등..


하지만 로그들을 살펴보니 remote 에서는 아닌것 같고 문제도 다시 읽어보고 1번은 버렸습니다.


2번이라는 가정하에 문제를 풀게 되었습니다.



리눅스의 로그입니다. serialnumber 가 usb의 시리얼 넘버입니다.


현재 필요한 값은 시각, 시리얼넘버, 제조사 id 입니다



이것은 맥 os 의 로그입니다.



이 로그들을 이제, 하나하나 찾아서 다른 페이지에 기록을 해야 합니다.


비교가 쉽도록 말입니다,.






이렇게 하나하나 찾아가는 과정을 쭉 하면



위와 같은 결과가 나오게 됩니다.


위는 피해자 victim 의 컴퓨터 맥 os 환경의 로그이고, 아래는 suspect 의심 컴퓨터의 리눅스 로그입니다.


피해자의 컴퓨터는 usb 접촉 기록이 많지만, 해커의 컴퓨터는 3가지 밖에 없습니다.


한개는 삼성, 한개는 lg, 한개는 버추얼머신의 usb 환경 입니다.


자, 이제 하나하나 비교를 해야 합니다.


버추얼 머신의 usb는 빼버리고, 2010으로 시작하는 삼성의 usb를 대조 결과 확인되지 않습니다.


하지만 삼성의 시리얼 넘버를 대조해본 결과, victim 에서 시리얼이 일치하게 됩니다.


Jul 27 09:10:22 RExVuz-Mac kernel[0]: USBMSC Identifier (non-unique): AA00000000000001 0x90c 0x1000 0x1100


그러므로 위의 시각이 어느 usb로 언제 해킹이 됬는지 짐작이 가능합니다.


7월 27일 오전 9시 10분 22초, 맥의 컴퓨터에서 AA00000000000001 의 시리얼을 가지고 제조사 id가 0x90c 메모리 카드가 해킹을 했다고 합시다.


이제 md5 해쉬를 시켜야 합니다.


MD5(0727091022_AA00000000000001_0x90c)


4550c35d78b4daf199199208c17ae924 가 나오네요


Password is 4550c35d78b4daf199199208c17ae924






신고

Comment 4

  • 2012.08.28 10:25 신고 수정 답글

    저는 바이너리 문제 하나 풀었는데
    포렌식 푸셨군요! 대단하시네요!

    V스쿨에서 보고 들어와봤는데 블로그 멋지네요!
    무슨 스킨이에요?

    • 2012.08.28 13:07 신고 수정

      앞으로 풀이는 더 올릴 예정인데 귀차니즘이~ ^^;

      스킨은 일반 있는 스킨입니다 감사합니다

  • 2012.09.06 22:17 신고 수정 답글

    넓에 하신건 수정하신거같은데 수정하신거 어떻게 하신지 알수잇을까요?