TRACE

Wireshark로 열어보면 

대부분의 패킷이 RTP 프로토콜을 이용하고 있었다.

RTP 프로토콜
ㅇ 인터넷상에서 다수의 종단 간에 비디오나 오디오 패킷의 실시간 전송을 지원하기 위해 표준화된 실시간 통신용 프로토콜
ㅇ 주요 용도 : VoIP, VoD, 인터넷 방송, 인터넷 영상회의 등

즉, 영상 혹은 음성 통화를 했고, 이에 대한 흔적이 남았다고 예상할 수 있다.

따라서 Wireshark의 Tenephony 기능을 이용했다.

Telephony : 전화와 관련된 게이터를 분석, 출력시켜주는 기능

[Telephony] - [RTP] -[STREAM Analysis]

Play Streams 버튼을 클릭하게 되면

해당 RTP 프로토콜 패킷에 해당하는 음성 데이터를 얻어 들을 수 있다.

두 명이 대화하는게 들렸다.(완전 신기)

J : "Hi Victoria? I'm Jack Stone.."

V : "Yes..."

...

J : "I have bad news about Gregory.."

V : "I killed him!" (갑자기??)

RTP 프로토콜을 알게 되어 재밌는 문제였다!

계좌, 허위 웹페이지 URL 등이 나오는 것을 보니 은행 사이트와 관련된 문제일 것이다.

Wireshark의 [Export Objects] - [HTTP] 기능을 사용하여 

사용자가 접속한 URL 정보들을 확인해봤다.

전체적으로 보면 infocenter.nackofamerica.com에 계속 접속해있었다.

하지만 중간에 자세히 보면, 

backofamerica.tt.omtrdc.net 이라는 이름이 비슷한 주소로 이동한 것을 볼 수 있다.

이것이 피싱사이트 일 것이라고 예상된다.

해당 패킷의 TCP Stream을 따라가보자

중간에 내용을 보면 mBoxReferrer 파라미터에 url 인코딩된 내용이 있다.

대충 예상해보면 why is my bank of america account not working을 구글에서 검색한 것으로 보인다.

따라서 이것이 피싱 사이트임을 확신할 수 있었다.

악성 페이로드의 용량을 물어보는 문제이다.

페이로드(Payload)
: 전송되는 데이터를 뜻한다. 페이로드는 전송의 근본적인 목적이 되는 데이터의 일부분으로 그 데이터와 함께 전송되는 헤더와 메타데이터와 같은 데이터는 제외한다(그 데이터 자체만 페이로드라고 칭한다). 컴퓨터 보안에서 페이로드는 멀웨어의 일부를 뜻한다.

전송되는 데이터를 찾아야 하므로

wireshark의 export 기능을 이용해 주었다.

이 파일을 저장한 후 virustotal에서 검사를 해봤다.

음 누가봐도 악성페이로드!

상품의 배달에 관한 정보가 노트와 휴대폰에 있다고 한다.

zip 파일 개봉!

뭐가 많다..

해당 로그 파일이 안드로이드 것임을 알 수 있다.

폴더를 쭉 보다가 사진 한 장을 발견했다,

이분이 아무래도 Gregory씨 인 것 같다.

뭐 더 있는 줄 알았는데.. 정답은 DIED 였다.

KEY : DIED

상품의 배달에 관한 정보와 제공된 비밀번호,,? 

일단 혹시 몰라 NetworkMiner에 넣고 카빙해줬다.

그리고 Messages가 있는 것을 발견

Messages 영역을 보니 Betty가 Greg에게 보냈던 내역이 있다.

password 관련한 내용이..

"You know the location and password for the drop"

그리고 그 밑에 kml 스크립트 내용이 있다.

kml?
: Keyhole Markup Language로, XML을 사용하여 위치, 이미지 오버레이, 비디오 링크 및 선, 모양, 3D 이미지 및 점과 같은 모델링 정보를 저장하여 지리 정보 주석 및 시각화를 표현

이를 보려면 kml viewer를 사용해야 한다고 한다.
https://ivanrublev.me/kml/

단체가 지도 파일을 건내주고 그 속에서 장소와 비밀번호를 표시해놓은 것 같다.

따라서 해당 kml 스크립트 파일을 긁어와 kml 파일로 저장하고(이 때, \(역슬래시)는 다 지워줘야 함) ,

kml viewer를 통해 확인해봤다.

Bnmt? Brut?

하지만, 뭐라 적어도 정답이 아니었다.

따라서 뭔가 더 있을 것이라 생각하여 코드를 다시 살펴보았다.

NetworkMiner에서 본 kml 스크립트 내용 중,

마지막이 좀 다른 것과 다르게 끝나있는 것을 보고

내용이 잘렸나? 싶었다.

wireshark로 다시 들어가 패킷의 용량이 큰 패킷의 tcp stream을 따라가보다가 

Message 속 내용이 담긴 패킷을 확인할 수 있었다.

단어 사이사이 마다 %20이 들어간 것으로 보아 URL 인코딩이 되어있다고 짐작할 수 있었다.

URL 인코딩?

따라서 이 패킷의 일부를 URL 디코더를 통해 디코딩 해줬다.

이 뒷부분이 다 잘린 것임을 알 수 있고 이 뒷 부분을 다 붙여서 다시 kml 스크립트를 저장했다.

위치와 패스워드를 확인할 수 있게 되었다!

(사실 나는 글씨를 못알아봐서 정답을 찾아봐야 했다..^^)

Key : Brutus

round1.pcap 파일을 보던 중 

IRC 프로토콜로 통신하고 있는 것을 확인할 수 있었다.

따라서 여기서 채팅 데이터를 볼 수 있을 것 같다.

IRC (Internet Relay Chat)

: 텍스트 기반의 메시지 전송 프로토콜
: 클라이언트-서버 형태의 메시지 교환 네트워크 구성
: IRC 프로토콜은 TCP를 사용하며 대개 6667번 포트를 사용

TCP Stream을 따라오니 역시 채팅 데이터가 남아있었다

서로 인사를 주고 받고, "what day do you want to meet up?"이라는 문자열에 대한 대답은

인코딩 되어 볼 수 없었다.

따라서 이 이후의 문자열을 디코딩하여 문제를 풀면 되겠다.

인코딩 된 것을 보면 &#문자열; 형태를 띄고 있다.

이는 HTML 엔티티로, HTML 인코딩 된 것임을 알 수 있다.

HTML 엔터티

: HTML에서 특정 캐릭터들이 예약되어있기 때문에 표기의 혼란을 막기 위해서 사용하는 것
: 흔히 공백을 &nbsp; 로 쓰거나 <,>를 &lt; &gt; 처럼 쓰는 것
: 앰퍼샌드 '&'로 시작하고 세미콜론 ';'으로 끝나는 문자열

따라서 HTML 디코딩 페이지를 통해 데이터를 디코딩 해주었다.

회의가 예정된 요일은 수요일(Wednesday)이다.