[NONamed Wargame] 유출된 자료 거래 사건[2] writeup

문제분석

USB로 옮겼을 것으로 의심되는 파일을 찾는 문제다. 

 

우선, FTK로 문제vmdk 파일을 열었다.

보니까 partion 1,2,3이랑 unparitioned space가 뜬다.

각 파티션을 열어보면 partiton 3는 제대로 인식을 못하고 있다는 것을 알 수 있다. ( 파티션을 암호화했는지 의심 가능)

 

Partiton 2에 NONAME이라는 유저에 대한 정보가 있으니 이 파티션을 보자.

 

문제 힌트에서 파일을 입수한 경로를 한 번 보라고 했으니까 History 파일을 열어보자(Users/AppData/Local/Google/Chrome/UserData/Default)

 

다양한 활동을 했다. 구글 계정도 만들고, 구글 드라이브, G메일, 구글 지도, 유투브, veracrypt 다운로드 등

VeraCrypt - Free Open source disk encryption with strong security for the Paranoid 라고 나오는게 꽤나 수상하다.

디스크 암호화하는 툴 같은데 아마도 이걸 이용해서 Partiton3를 암호화한것 같다.

 

USB에 관한 것도 잔뜩 깔았다.

 

eM Client도 사용했는데 윈도우랑 맥용 이메일 프로그램이다.

 

구글 드라이브에서 Confidential_Doc.hwp 라는 파일을 다운 받았다.. 이름부터 기밀!

 

다운로드 항목을 보면 setup.msi 는 eM Client 설치 파일이고, confidential_Doc.hwp랑, VeraCrypt도 설치한 걸 볼 수 있다.

로그파일을 확인해보기 위해서 $LogFile, $MTF, $UsnJrn:$J 와 같은 파일을 찾아보자.

일단 root 폴더에 있는 로그파일, MTF 파일을 추출하고 Extend 파일에 있는 UsnJrn도 추출한다.

 

NTFS에서 파스했는데 search가 안되서 CSV로 추출했다.

Confidential을 찾아보니까 만들고 지우고 이름도 바꿨다.

 

todaysmemo.hwp로 바꾼 것을 확인할 수 있다.

 

 그럼 이제 문제에 필요한 변경 전 이름 + 변경 후 이름 + 바뀐 시간 까지 모두 알아냈다