[Wargame] FTP 파일 카빙 및 파일 이름 디코딩

방학동안 포렌식에 대한 이해를 위해 워게임을 풀어볼 예정이다

워게임 주소: http://52.79.224.215/

 

 

첫번째는 네트워크 포렌식!

문제 이름이 FTP-file upload인 것으로 보아 패킷 캡처 파일을 ftp 위주로 분석하면 될 듯 하다

파일을 다운 받아서 열어보면 다음과 같다

 

 

간단하게 파일 캡처 파일이 하나 있다

이때 pcapng라는 새로운 확장자가 눈에 띈다

 

pcapng(PCAP Nest Generation)란? pcap의 발전된 형식으로 더 많은 메타데이터(이름 확인 정보, 주석, 인터페이스 정보 등)를 담을 수 있다. ( pcap 파일 시그니처 D4 C3 B2 A1, pcapng 파일 시그니처 0A 0D 0D 0A )

 

pcapng와 pcap 파일 간에 서로 convert도 가능한데 이는 뒤에서 다시 설명하도록 하겠다

우선 해당 파일 분석을 위해 패킷 분석 툴인 WireShark 에 넣고 열어본다

 

Wireshark란? 세계에서 가장 널리 쓰이는 네트워크 분석 프로그램이다 네트워크 상에서 갭쳐한 데이터에 대한 네트워크 및 상위 레이어 프로토콜의 정보를 제공하며 패킷을 캡처하기 위해 pcap 네트워크 라이브러리를 사용한다

 

그 외 packet capture tools 로는 SmartSniff(TCP/IP 등 무선 네트워크 패킷 캡처 툴), Fiddler(HTTP, HTTPS 디버깅 서버 응용 프로그램), PacketShark(안드로이드 앱), TShark(자동화에 유리) 등이 있다 

 

WireShark에 패킷 캡처 파일을 넣어서 열어본 초기 화면은 다음과 같다

 

 

문제 타이틀에서 힌트를 줬던 만큼 여러 프로토콜 중 FTP가 눈에 띈다

FTP로 필터링을 해본다

 

 

info의 내용을 보고 ftp 통신을 통해 파일을 주고 받았음을 파악할 수 있다

TCP stream sequence를 통해 HTTP 요청 및 응답을 더 자세히 확인해 볼 수 있다

( statistics > conversations > tcp > packet 선택 > follow stream or  우클릭 > follow > TCP stream )

 

 

스트림은 총 4개이므로 eq가 0~3이 될 것이다

첫번째 스트림(eq 0) 부터 살펴본다

 

 

Port command successful 로 포트 설정이 진행된 이후

STOR ........(190404).docx 라는 구절을 통해 워드 파일이 업로드 되었음을 알 수 있다

Data connection estabilshed, beginning transfer, Transfer complete 를 통해 전송이 성공적으로 완료된 것도 알 수 있다

 

이어서 나머지 스트림을 살펴본다

세번째 스트림에 유의미한 내용이 들어있다

 

 

시그니처가 PK인 것을 보아 확장자가 zip 파일인 것을 알 수 있다

카빙(파일 저장)을 위해 show and save data as 를 ASCII에서 raw로 바꿔준다

 

 

save as 를 눌러 zip 파일로 저장해준다

압축을 해제하면 다음과 같다

 

여러 xml로 구성되어 있는데

직관적으로 문서 내용이 저장되어 있을 것으로 추측되는 document.xml을 열어 보았다

 

 

문서 내용 즉 key 값을 찾아낼 수 있다

그러나 TCP stream을 살펴볼 때 분명 주고 받은 파일이 .docx, 즉 워드 파일임을 확인했다

다시 WireShark로 돌아가 raw 데이터를 워드 파일로 저장해본다

 

 

 마이크로소프트 오피스 워드로 열어서 key 값을 더 간단하게 얻을 수 있다

그렇다면 왜 TCP stream에서는 워드 파일을 주고 받았음에도 시그니처가 pk, 즉 zip으로 되어 있었던 걸까?

 

해답은 word를 제작한 microsoft office 계열 프로그램(word, excel, powerpoint)의 파일구조에서 찾을 수 있다

링크: {} OLE와 OOXML 차이

 

다시 문제로 돌아가면, 플래그는 파일명_key{} 였는데 아직 파일 이름을 찾지 못했다

WireShark에서는 파일 이름이 깨져서 알아볼 수 없으므로 HdX를 통해 알아본다

 

 

.docx 를 검색해보면 여전히 파일 이름이 깨져 있다

파일이름을 암호화한 것일까? 우선 단순히 언어 지원이 되지 않아서 글자가 깨졌을 가능성을 살펴본다

유니코드를 활용하여 한글을 인코딩하는 방법은 EUC-KR, UTF8이 있다

유니코드란 무엇일까? EUC-KR, UTF8 비교 https://norux.me/31

 

인코딩을 위해 STOR 뒷부분부터 확장자명까지 파일이름에 해당하는 16진수 데이터를 긁어준다

아무 에디터에 들어가서 공백을 \x로 바꿔준 후 파이썬의 decode를 이용해 파일 이름을 추출한다

 

 

euc-kr로 인코딩을 해보았더니 깨끗한 한글 파일 이름을 얻었다

flag는 '기업비밀자료(190404).docx_key{s8u9pj5r42qjv63r}'이 된다

이로써 key 값과 파일 이름을 모두 get 했으므로 문제 풀이를 끝내도록 하겠다

 

 

(추가) pcapng -> pcap 변환

NetworkMiner 2.5 와 같은 툴을 이용할 때 pcap로 확장자를 바꿔줘야 한다

pcapng 파일을 pcap 파일로의 변환은 WireShark 내의 editcap 도구로 간단히 처리할 수 있다

 

윈도우 기준 WireShart 설치 위치\editcap.exe -F [변환 결과 포맷] [*.pcapng] [*.pcap]

리눅스 기준 editcap -F [변환 결과 포맷] [*.pcapng] [*.pcap]

먼저 Wireshark 설치 위치로 이동한 후 editcap.exe를 실행해줘도 된다

 

 

변환된 packet01.pcap 파일을 NetworkMiner 툴에서 열어볼 수 있다