cgy12306
CFReDs 16~20번 본문
'포렌식' 카테고리의 다른 글
| CFReDS 21~25번 (0) | 2019.10.31 |
|---|---|
| CFReDs 11~15번 (0) | 2019.10.31 |
| CFReDS 5~10번 (0) | 2019.07.15 |
| CFReDS 1~5번 (0) | 2019.07.15 |
16. Find 6 installed programs that may be used for hacking.
autopsy 툴을 이용하여 ‘hacking’이라는 키워드를 검색했다.
많은 파일 중 가장 의심이 드는 readme.txt를 선택했다.
대체로 readme라는 파일은 어떤 실행파일의 사용법이나 주의사항이 들어있는 파일이다.
내용은 너의 사이트를 방어하거나 공격하는 툴이라고 적혀있다.
Location을 따라가보자
E01\NTFS\My Documents\NOVELL
해킹 툴로 추정된다.
NTFS\Documents and Settings\Mr.Evil\Desktop\Tools를 보면 lnk파일을 볼 수 있다.
lnk파일은 윈도우의 바로가기 파일이다.
Ethereal.lnk의 index를 보자
글씨가 너무 흐려서 FTK Imager를 이용해서 Program Files\Ethereal로 가보자
readme를 읽어보면 스니퍼라고 한다.
software\Microsoft\Windows\CurrentVersion\Uninstall에 가보면 이러한 파일들이 있다.
Uninstall은 프로그램/추가제거 같은 거라고 한다(대범형 피셜)
PWL 파일에 저장되어 있는 유저들의 패스워드 로그들을 보여주는 프로그램이다. 해킹 툴이다.
Anonymizer를 검색해 봤다.
인터넷에서 활동을 추적할 수 없도록 시도하는 도구이다.
이 파일들을 다시 참고해보자.
Cain 파일이 있다. software\Microsoft\Windows\CurrentVersion\Uninstall 에 Cain & Abel v2.5 beta45를 검색해봤다. 공격툴이다.
Network Stumbler 파일을 검색해보자.
무선인터넷연결점을 찾는 프로그램이다.
NOVELL, Ethereal, 123WASP, Anonymizer, Cain & Abel v2.5 beta45, Network Stumber 6개 찾았다.
하지만 합리적인 의심을 해보면 데스크톱에 있는 툴 대부분이 해킹에 사용한 툴 같다.
룩랜으로 네트워크상에서 찾고, cutehtml로 가짜 페이지 생성해서 피해자들을 유인하는 이런식으로 사용했을 것 같다. 사람들은 대부분 주로 사용하는 프로그램들은 바탕화면에 꺼내 놓고 사용하기 때문이다. ㅎㅎ
17. What is the SMTP email address for Mr. Evil?
파일 오지게 뒤져 봤다.
레지스트리 SAM, SOFTWARE, SYSTEM 3개 중에 SAM은 사용자 계정에 관련된 레지스트리이니 패스.
SYSTEM 레지스트리는 시스템 부팅에 관련된 파일이 들어있으니 이것도 패스
SOFTWARE는 부팅 관련된 파일을 제외한 레지스트리이다. 여길 뒤져봤다.
Mail이라는 폴더를 뒤져봤는데 software\Clients\Mail\Forte Agent\shell\open\command를 들어갔더니 프로그램의 경로가 나와있다. 이 프로그램은 Mr.Evil의 tool에 설치가 확인된 프로그램이다.
일단 저 경로를 들어가보자.
readme.txt를 보니 뉴스 읽어주는 프로그램이라고 한다.
이 쪽에 뭔가 단서가 있을 것 같아서 모든 파일들을 다 훑어봤다.
헥스 값들이 왕창 들어가 있다. 하지만 왠지 모르게 autopsy라면 이 파일을 읽어주지 않을까..
구웃!
AGENT.INI 파일 안에도 볼 수 있다.
며칠동안 안 풀렸던게 리버싱 문제를 풀었더니 지능이 상승했나 보다.
18. What are the NNTP (news server) settings for Mr. Evil?
17번과 같이 AGENT.INI의 파일을 보면 NewsServer를 볼 수 있다.
19. What two installed programs show this information?
구글 번역기에서 이상하게 번역해서 파파고도 돌리고 영수한테도 물어봤다.
17번과 18번에서 보여주는 정보를 사용하는 프로그램 두개는 무엇이냐는 뜻이다.
17번에서 본 설정파일은 Agent 폴더 안에 있는 설정 파일이니 무조건적으로 Agent에서 사용할 것이다. Agent 프로그램의 이름은 forte Agent이다.
그리고 밑에 OutlookExpress 또한 보인다.
답은 forte Agent, OutlookExpress이다.
20. List 5 newsgroups that Mr. Evil has subscribed to?
Mr.evil이 구독한 뉴스그룹 5개를 알아내라는 문제인데
아웃룩에서는 뉴스 그룹을 구독할 수 있다고 한다. 위의 사진은 번역기를 돌린 사진이다. ㅎ
뉴스그룹은 또한 가상 게시판이라고 한다. 그럼 게시판에는 사람들이 대화를 나눈 것을 볼 수 있을 것 같다.
아웃룩에서는 .dbx 파일을 사용한다고 한다.
autopsy로 .dbx 파일들을 다 뒤져보자. .dbx파일을 검색해보자.
다른 파일들은 .dbx에 대한 정보가 별로 없고 Folders.dbx라는 파일에는 .dbx 파일에 대한 정보를 잔뜩 가지고 있다.
여기로 가보자.
dbx파일들이 많이 모여 있다. 하나씩 봐 보자.
alt.2600.cardz.dbx를 보면 노가리 까는 장면을 볼 수 있다. help please라는 말을 혼자 쓰는 사람은 이상한 사람 빼고 거의 없다. 합리적으로 생각해보면 이건 게시판이나 채팅으로 대화하는 거라 추론을 할 수 있다.
그럼 alt.2600.cardz.dbx에서 .dbx는 확장자이니까 이걸 빼면 alt.2600.cardz이다. 이것이 뉴스 그룹인 듯하다. 이제 4개를 더 찾아보자.
이거 또한 그렇다. alt.2600.codez
이것도 그렇다. alt.2600.crackz
alt.2600도 그러하다.
alt.2600.hackerz도 그렇다.
종합해보면 alt.2600.cardz, alt.2600.codez, alt.2600.crackz, alt.2600, alt.2600.hackerz이다.
Comments