Codegate 2012 F100 : Disk Forensic

[시나리오]

X 회사의 재정 정보를 훔치기 위해서 IU는 비밀리에 직장을 구했다. 그녀는 CFO의 컴퓨터를 공격하기로 결정한 후 사회 공학적 방법으로 악의적인 악성코드를 자신의 컴퓨터로 삽입하기로 결정했다. 그녀는 CFO가 퇴근할 때 컴퓨터를 끄지 않는다는 것을 알아냈다. CFO가 사무실에서 나간 후, 그녀는 CFO의 컴퓨터에서 재무자료를 얻고 EXCEL 파일을 검색한다. 그녀는 설치된 응용 프로그램을 확인해서 파일에서 정보를 찾을 수 있었다. 모든 추적을 제거하기 위해 그녀는 악성코드, 이벤트 로그 및 최근 파일 목록을 지웠다. X 회사는 적절한 조치를 취하기 위해 그녀가 어떤 정보를 훔쳤는지 밝혀야 한다. 이 파일들은 CFO의 컴퓨터에서 공격받은 파일들이다. 그녀가 훔친 파일의 전체 경로와 파일의 크기를 찾아라. 그 날 CFO는 14:00시에 사무실을 떠났다. 시간은 한국 표준시 (UTC + 09:00)를 기준으로 한다.

KEY Format : strupr(md5(full_path|file_size)) (‘|’ 는 문자일 뿐이다.)

 

 

[풀이 도구](아티펙트 분석용)

WFA.exe

4.30MB

---

 

주어진 문제 파일은 확장자 유형이 주어지지 않아서 Hex Editor를 이용하여 파일 시그니처를 확인한다.

 

 

파일 시그니처

Hex Editor로 열어본 결과 해당 파일은 7z로 압축된 파일임을 확인할 수 있다.

확장자를 변경하고 그 내용을 확인한다.

 

압축 파일을 확인한 결과, 윈도우 운영체제의 사용자 폴더의 구조와 동일한다. 따라서 해당 파일은 윈도우 운영체제의 사용자 폴더를 압축한 파일임을 알 수 있다. 

 

범인이 열어본 EXCEL 파일의 흔적을 찾기위해 문서 파일의 링크 파일 정보가 담긴 폴더를 확인한다.

 

링크 파일 경로: Users\proneer\AppData\Roaming\Microsoft\Office\Recent

재무정보 문서로 의심되는 "[Top-Secret]_2011_Financial_deals.LNK" 링크 파일이 존재한다. 해당 링크 파일 분석을 위해 WFA(Windows File Analyzer) 프로그램을 실행하여 해당 링크 파일을 담고 있는 폴더를 찾아낸다.

 

위의 그림과같이 재무정보 문서 링크 파일의 파일크기와 전체 경로를 알 수 있다.

 

경로: C:\INSIGHT\Accounting\Confidential\[Top-Secret]_2011_Financial_deals.xlsx
크기: 9296 Byte

 

md5 값 계산 python 코드

Flag key = d3403b2653dbc16bbe1cfce53a417ab1