[N0Named] [B] 유출된 자료 거래 사건[2] 풀이

문제 : [B] 유출된 자료 거래 사건[1]에서 많은 USB 중 PC에 꽂은 USB를 정확히 찾은 상태,

이제 해당 USB로 옮긴 파일을 찾자. 

 

문제 설명에서 USB에 옮긴 파일을 찾을 때 해당 파일은 어디서 입수했을지 생각하라는 힌트를 제시했다.

파일이 갑자기 뿅 나타날 일은 없으니까 가장 먼저 인터넷 기록인 크롬 기록을 살펴보았다.

 

HISTORY를 export해서 DB Browser for SQLite로 열어본 상태이다. 

다양한 URL이 나오는데 그 중에서 이메일과 관련하여 파일 수집 과정을 추론할 수 있었다.

1. Gmail을 사용하기 위해 2. Google 계정을 만들고(아이디도 대충 지었음 yesnamed1234) 3. 받은편지함(1)을 보면 알 수 있는 것처럼 이메일을 수신해 파일을 다운로드한 것이다.

 

혹은 eM Client 프로그램을 이용하여 이메일을 주고 받았을 수도 있다.

 

URL 마지막 부분에 Confiential_Doc.hwp를 구글 드라이브를 통해 다운받고 한글 문서를 읽기 위해 한컴 뷰어를 다운받는 모습을 포착했다. 따라서 구글 이메일로 온 첨부파일을 구글 드라이브에 저장을 했고, 이를 다운받아 읽으려는 행동을으로 추론했다.

 

다운로드 테이블을 살펴보면 역시 다운받은 흔적이 있었다.

(물론 다운받은 경로는 오른쪽 열에 있어 캡쳐에 짤렸지만 구글 드라이브 url로 나왔다.)

 

USB로 옮기려는 수상한 파일을 찾았으니 파일의 로그 분석을 위해서 NTFS Log Tracker를 사용한다.

우선 $LogFile, $MFT, $UsnJrnl 을 export한다.

 

NTFS Log Tracker의 로그 파일 기록이 나온다. 개인적으로 [Search] 기능에 목록이 별로 없어서 프로그램에서 필터링 하는 것보다 CSV 로 추출하여 엑셀 파일로 보는 것을 선호한다. 그래서 옆에 있는 [CSV export] 를 한다.

 

추출된 엑셀 파일을 열어 ctrl+F [찾기 및 바꾸기] 기능으로 confidential로 필터링한다. 많은 파일 로그 중에서 confidential.doc.hwp 파일의 로그만 궁금하기 때문에 이렇게 필터링 걸었다.

 

'confidential'로 필터링 건 15개의 셀을 살펴보면 Renaming File event를 찾을 수 있다. 변경한 파일명과 변경 이벤트 시각을 얻어 FLAG를 작성하면 된다. 

 

끝