네트워크 포렌식: 와이어샤크를 활용한 문제 풀이

이번 포스팅에선  와이어샤크를 이용하여 네트워크 포렌식 관련 문제를 풀이해 본다.

 

문제. 주어진 패킷에 대하여 다음을 구하시오.

1. Email계정을 구하시오 => "Ann Dercover" <sneakyg33k@aol.com>  // Email계정 로그인 시 Base64 사용
2. 계정의 패스워드를 구하시오 => NTU4cjAwbHo=디코딩=> 558 r00 lz  //  Bluebell decoder로 base64 해독
3. 상대방 Email계정을 구하시오 => <mistersecretx@aol.com></mistersecretx@aol.com>
4. 이메일을 통해 요청된 물건은 무엇인가? =? fake passport and a bathing suit
5. 첨부파일 이름은 => "secretrendezvous.docx" // mail.eml로 저장
6. 첨부파일 속 접선장소는? // 이메일(.eml)형식 열어서 첨부 확인

---

 접근 방법

• Ann의 IP 192.168.1.158 위주로 확인 => Wireshark검색 ip.addr == 192.168.1.158'
• 첫 번째 패킷의 TCP Follow확인

대화상대 'Sec558user1'에게 recipe.docx 파일 전송으로 확인

전송파일의 시그니처 확인

는 tcp.stream eq5 패킷에서 확인됨 (이와 같이 분석시 TCP stream 단위로 조사)

또는 이전 메일에서 언급된 'recipe' 키워드로 직접 검색하여 찾을 수 있다.

 

TCP flow를 RAW 포맷으로 저장

 

첨부파일 확인

HxD(Hex에디터)에 입력하여 PK 시그니처 이전을 삭제하고 확장자(.docx)를 붙여 확인 가능하다.

 

이메일 확인

Raw형식의 전체 TCP패킷을 .eml확장자로 저장

접선장소는 Playa del Carmen