[2021 화이트햇 콘테스트] F-1 - 포렌식 / Wireshark

[2021 화이트햇 콘테스트] H-1 - 포렌

 

2021 화이트햇 콘테스트 예선전에 나왔던 문제

 

시간이 꽤 지났지만 하나씩 문제풀이를 올려본다.

 

CTFD 플랫폼을 이용해 진행이 되었는데,

 

문제는 캡쳐를 못해서 써놨던 내용을 복기해서 작성하는 Write up이다.

 

반응형

 

 

거의 대부분의 문제는 S1_Docs_Malware.vmx 파일로 진행된다.

 

해당 파일은 침해사고가 발생한 Windows10 시스템을 이미징한 것이다.

 

F-1 문제는 이전 E-1에서 계속 이어지는 문제이다.

(https://hackingstudypad.tistory.com/581)

 

F-1
랜섬웨어로 암호화된 hwp 파일을 복호화 하여라

 

이번 문제는 랜섬웨어 악성코드로

 

암호화된 hwp 파일을 복호화 하는 문제였다.

 

 

 

이미지 내에 있는 수많은 암호화된 파일 중

 

어떤걸 복호화 해야하는지 먼저 찾아야 했다.

 

C:\Users\PC_008 경로로 가보니

 

flag.hwp.rabbit 파일을 찾을 수 있었다.

 

제목이 제목인 만큼 얘를 복호화 하는 것이라 판단했다.

 

문제는 어떻게 복호화 하는것이냐는 건데

 

처음엔 E-1 문제에서 찾은 WerFault.exe 파일을

 

IDA 와 같은 도구로 분석해서 

 

랜섬웨어의 암호 알고리즘과 KEY 값을 분석하여

 

복호화 해야하는줄 알고 그렇게 접근했었다.

 

나중에 알았는데 어이없게도 더 간단하게 해결할 수 있는 문제였다.

 

 

C:\Logs 폴더안에 있는

 

C.pcapng 파일에서 해결할 수 있다.

 

 

해당 파일을 Wireshark 로 열어

 

http.request.method  == POST 로 필터링을 걸어준다.

 

그런다음 패킷을 하나씩 살펴보다 보면

 

flag.hwp 를 전송한 흔적이 보이는데

 

확장자 뒤에 .rabbit 이 안붙은걸로 보아 암호화된 파일이 아닌듯 하다.

 

랜섬웨어가 처음 동작할때

 

원본 파일을 서버로 전송하고,

 

남아있는 파일을 암호화 시키는데 그 흔적인듯 하다.

 

Data 라고 적힌곳에 맨 앞부분이 d0cf 로 시작하는걸로 보아

 

암호화 되지 않은 한글파일인것이 틀림없다.

 

 

Data 부분을 우클릭 - Export Packet Bytes 해서 추출해주면

 

 

생성된 한글파일에서 플래그를 확인할 수 있다.