[N0Named Wargame Season 2] 유출된 자료 거래 사건 [4] 문제풀이

준비물

---

nonamed.vmdk, AccessData FTK Imager, Veracrypt

 

https://accessdata.com/product-download/ftk-imager-version-4-5

FTK Imager Version 4.5

https://www.veracrypt.fr/en/Downloads.html

VeraCrypt - Free Open source disk encryption with strong security for the Paranoid

 

 

문제소개

---

[N0Named Wargame Season2] 유출된 자료 거래 사건 [4]

 

 

문제풀이

---

마지막 유출 자료 거래 사건의 주제는 어떤 하드에 암호화된 문서를 찾아내는 것이다.

이 문제에서는 암호화된 문서를 찾아서 복호화 하는 것이 주된 목적일 것이다.

 

그럼 어떻게 복호화를 진행하는 것이 좋을까?

이에 대한 힌트는 거래 사건 [2]에 대해 올렸던 포스팅을 참고하면 된다.

해당 포스팅에서 봤었던 검색 기록들을 보면 'VeraCrypt'라는 프로그램이 있는 것을 알 수 있다.

 

History파일 안에 저장된 사용자의 검색 기록 로그

 

검색해 본 결과, VeraCrypt 프로그램은

"하드디스크를 비롯한 USB 외장하드의 암/복호화가 모두 가능한 오픈소스 무료 프로그램"

이라고 한다.

아마 사용자는 VeraCrypt를 이용하여 하드디스크를 암호화했을 가능성이 크다고 생각한다.

 

그럼 과연 암호화된 파일이 들어가 있는 하드디스크는 무엇일까?

아무래도 세 가지 파티션 중, 유일하게 'Unrecognized file system'이 가장 의심스러운 것은 당연할 것이다.

 

누가봐도 의심스러운 Partition 3

 

그럼 Partition 3를 'Export Disk Image'를 통해 하드디스크를 추출해보자.

Export Disk Image > Add > Raw(dd) > (안써도 됨) 이 절차를 거치면 아래와 같은 화면이 나온다.

 

위의 절차를 거친 화면

 

그렇게 나오면 자신이 편한 파일 경로를 정하고, 이미지파일 이름을 정해준 후, Finish 한다.

 

그러면 경로를 정해준 경로에 아래와 같은 이미지파일이 생성된다.

 

지정해 준 경로에 생긴 이미지 파일

 

그 후에는 이 이미지 파일을 복호화해주기 위해서 VeraCrypt를 이용해 마운트과정을 거쳐야 한다.

VeraCrypt를 실행한 후, 파일 선택 > 이미지 파일 선택 > 마운트를 하면 아래의 화면이 나온다.

 

위의 과정을 거친 후의 화면

 

음... 역시 이렇게 바로 풀리면 너무 쉽겠지?

여기에 필요한 패스워드가 필요한 모양이다.

다시 Access FTK Imager로 돌아가 패스워드를 찾아보자.

 

여기서는 특별히 단서가 존재하지는 않았고, 휴지통을 뒤적거리다보니 찾을 수 있었다.

 

$Recycle.Bin속에 있던 txt 파일을 열어보니 나온 패스워드

 

이렇게 찾은 패스워드를 입력해주니, 이미지 파일이 복호화되었다.

그리고 해당 파일을 더블클릭해주면,

 

plan.txt

 

plan이라는 이름을 가진 txt 파일이 나오고, 이를 열어보면 flag가 무엇인지 알 수 있다.

 

 

레퍼런스

---

마운트: 저장 장치에 접근할 수 있는 경로를 디렉터리 구조에 편입시키는 작업

https://ko.wikipedia.org/wiki/%EB%A7%88%EC%9A%B4%ED%8A%B8

마운트 - 위키백과, 우리 모두의 백과사전

https://extrememanual.net/34032

디스크 암호화 프로그램 Veracrypt 사용법 - 익스트림 매뉴얼