[N0Named Wargame Season2] 유출된 자료 거래 사건 [2] 문제풀이

준비물

---

nonamed.vmdk, AccessData FTK Imager, DB Browser(SQLite), NTFS Log Tracker

 

https://accessdata.com/product-download/ftk-imager-version-4-5

FTK Imager Version 4.5

https://sqlitebrowser.org/

DB Browser for SQLite

https://sites.google.com/site/forensicnote/ntfs-log-tracker

NTFS Log Tracker - blueangel's ForensicNote

 

문제소개

---

[N0Named Wargame Season2] 유출된 자료 거래 사건 [2] 문제

 

 

문제풀이

---

문제를 해결하기 위한 본 파일은 유출된 자료 거래 사건 [1] 에서 찾을 수 있다고 한다.

참고로, 내가 앞으로 포스팅할 세 문제(유출된 거래 사건 2, 3, 4)들은 모두 같은 파일을 대상으로 한다.

 

우선 이번 두 번째 문제는 확인되지 않은 파일이 어떻게 바뀌었는지 아는 것이 주 목적이다.

그 과정에 파일의 경로를 찾아야 하므로 느낌상 NTFS Log Tracker를 사용할 필요가 있어 보인다.

 

다른 고민을 하기 이전에, nonamed.vmdk를 Access FTK Imager로 열어주었다.

 

nonamed.vmdk를 Access FTK Imager로 열어준 화면

 

음.. 열어보니 누가봐도 Partition3가 수상하다.

하지만 지금은 그냥 수상하다고 생각하고 넘어가도록하자.

 

아무래도 USB에 넘어간 파일이 입수된 경로를 알아보기 위해 NTFS Log Tracker를 사용해야 할 것이다.

NTFS Log Tracker로 할 수 있는 기능은 [N0Named Wargame Season2] 우리의 추억들 문제풀이를 보면 알 수 있다.

 

하지만 우린 아직 어떤 파일이 옮겨졌는지를 알지 못한다.

어떤 파일이 옮겨졌는지 단서를 알아보기 위해 해당 파티션의 History파일을 찾아보자.

(이때, 올바른 username에 해당하는 폴더는 nonamed 폴더이다. 그 이유는 문제 시리즈를 모두 풀면 알게 될 것이다.)

 

\[root]\Users\nonamed\AppData\Local\Google\Chrome\UserData\Default\History의 경로로 들어간 화면

 

History 파일을 찾았으면, 해당 파일을 추출하고 DB Browser로 방문 기록을 분석해보자.

 

DB Browser로 History 파일을 열어본 화면

 

오... 사용자의 검색 기록을 보니 상당한 덕력을 지닌 듯하다.

(그림체를 보니 마음에 들어서 다음에 봐야겠다.)

저번 문제들과는 완전히 다르게 검색기록에 상당히 많은 내용들이 있다.

 

그 중에서도, Confidential_Doc.hwp라는 파일을 구글 드라이브에서 다운받은 것이 눈에 띄었다.

그 이유는 문제의 목적이 유출된 '자료'를 찾는 것이기 때문이다.

아무래도 자료라고 하는 것은 한글이나 워드, 혹은 엑셀을 일컫겠지.

 

DB Browser에서 의심가는 내용을 찾은 화면

 

그렇게 지나치려 했는데 한 가지 더 의심스러운 것이 있었다.

바로 'veracrypt'라는 검색 자료인데, 2주차 포렌식 교육에 배웠던 프로그램이라 기억이 났다.

스포하자면, 이 검색기록 역시 나중에 쓰일 것이다.

 

그러면 우리가 찾을 자료는 Confidential_Doc.hwp임이 정해졌다.

그래서 NONAME 파티션에 있는 Log 관련 파일들을 찾아주었다.

 

Partition 1에 있는 파일을 찾지 않은 이유는,

첫 번째는 파티션 이름이 Username의 형태가 아니였기 때문이고,

무엇보다도 두 번째는 그 안에 Log 관련 파일들이 모두는 존재하지 않았기 때문이다.

 

그래서 NONAME 파티션에 있는 $LogFile, $UsnJrnl:$J, $MFT 파일을 찾아 Export 했다.

 

$LogFile, $UsnJrnl:$J, $MFT 파일을 찾아낸 화면

 

이렇게 찾아낸 로그 파일들을 NTFS Log Tracker에 아래와 같이 경로를 잘 설정하여 넣어주고, Parse를 해준다.

 

NTFS Log Tracker에 로그 파일들을 집어넣은 화면

 

그러면 아래에 수십가지 파일들을 보여주는데, 나는 일일이 찾기 어려워서 CSV Export를 통해 내용을 추출했다.(꼭 Parse 버튼을 눌러준 후 CSV Export를 해주어야 한다.)

 

그러면 CSV파일을 엑셀 파일로 확인할 수 있다.Export된 엑셀 파일들 중에 LogFile을 열고 Ctrl + F를 이용해 검색 창을 켜준 후 아래와 같이 하나씩 검색을 해주었다.

 

Confidential 키워드를 검색한 화면

 

Confidential_Doc.hwp 파일이 todaysmemo.hwp로 바뀌었음을 알 수 있는 화면

 

파일이 Confidential_Doc.hwp 에서 todaysmemo.hwp로 바뀌었다는 것은 알았으니,

언제 바뀌었는지를 알아볼 필요가 있다.

 

마찬가지로 이번에는 UsnJrnl CSV 파일을 열어 Confidential 키워드로 검색을 해 보았다.

 

Confidential_Doc.hwp 파일이 Rename 되었던 때의 기록을 알 수 있는 화면

 

File_Rename 했던 시점의 기록이 남아있다는 것을 알 수 있지만, Time Stamp가 찍혀있지 않다는 것을 알 수 있다.

그래서 그 옆에 있는 USN 코드를 기억해서 Log Tracker를 다시 들어가보면 Time Stamp에 찍혀있는 시각을 알 수 있을 것이다.

 

USN 23188832를 찾아 변경된 시각을 찾은 화면

 

변경된 시각까지 찾았으면,

변경전 파일명, 변경후 파일명, 변경 시각 모두 알았으니 flag를 위한 데이터 수집은 끝이다!