[N0Named] [B] 유출된 자료 거래 사건[4] 풀이

문제 : 구매했던 자료, [B] 유출된 자료 거래 사건[3]의 Confidential.doc.hwp를 활용하기 위한 계획을 세움

계획 문서를 암호화해서 숨겨뒀는데 어디있을까요?

 

Confidential.doc.hwp는 todaysmemo.hwp로 이름이 바뀐 기록이 있다.(문제 [B]-[3]에서 하는 내용)

 

이후 8분 뒤에 todaysmemo.hwp는 삭제된다. 구매한 자료를 봤으니 지우는 모양이다.

 

같은 시각, 곧바로 메모장을 만들어 구매한 자료를 어떻게 활용할 계획인지 plan.txt로 문서화했다.

이 plan.txt가 문제 설명이 나와있는 계획인 모양이다. 

 

plan.txt와 관련한 파일 로그를 살펴보기 위해서 'plan'으로 필터링하였는데, File Deletion 로그를 발견하였다. 그런데 상황 전후를 보니 Veracrypt를 사용한 모양이다. 따라서 plan.txt를 VeraCrypt를 이용하여 암호화함을 알 수 있었다. 

 

그런데 어떤 방식으로 암호화하였을까? Veracrypt 암호화 방식은 1.외장하드 2.파일 3.디스크 로 크게 나뉠 수 있다.

Veracrypt의 디스크 암호화 방식 크게 세 가지
1. 디스크 볼륨 전체를 암호화
-> 암호를 모른다면 해당 디스크에 접근 완전 차단 가능하다는 장점
-> 외장하드
2. 컨테이너 방식의 파일 형태로 저장한 다음 마운트하는 방식 
-> C 드라이브처럼 디스크 전체를 암호화하므로 부담스러운 경우
-> 일부 용량을 컨테이너(파일)로 할당해 저장 공간을 만들어 암호화하고, 가상 디스크(VHD)라고 생각하면 됨
-> C 드라이브에 일부 파일을 숨길 때 사용함
3. 윈도우가 설치된 디스크 전체를 암호화 
-> 윈도우 설치 디스크 암호화는 모두 잠길 수 있으니까 숙련자가 아니면 하지 말자....


출처: 
https://ssol2-jjanghacker.tistory.com/entry/WHOIS-포렌식-교육-3주차-공부-보고서-작성
 [ssoL2 TISTORY]

 

근데 처음에 디스크 파티션 3개로 나뉜 것을 볼 수 있었는데, Partition 1은 시스템 예약 파티션으로 컴퓨터 부팅과 관련된 파티션이며 Patition 2는 직접 쓰는 디스크, 마지막으로 Partition 3이 남아있었는데 'Unrecognized file system'으로 파일시스템을 인식 못한다니 뭔가 문제가 있어 보인다. 즉, Partition 3을 암호화 했음을 추측할 수 있다.

 

이제 암호화한 대상을 찾았는데, Veracrypt 마운트 할 때 필요한 키는 어디서 찾을 수 있을까 ?

 

nonamed의 휴지통을 찾아보니 수상항 텍스트가 존재했다. 내용에 암호 해시 알고리즘과 비밀번호가 존재한다. 

'$R3H68CC.txt'의 파일 로그를 찾아보니 바탕화면에 있던 vc.txt를 휴지통에 버린 모양이다. 누가봐도 vc = VeraCrypt를 줄인 말이다.. 'vc.txt'를 언제 만들었나 위로 타고 올라가니 역시 VeraCrypt 이용 후에 만들어진 텍스트 파일로 따로 key를 저장하기 위한 목적으로 만든 텍스트임을 추측할 수 있다. 

 

 

이제 Partition 3을 export해서 Veracrypt로 마운트해봅시다. SHA512에 'thisispwthisispw'를 입력했더니 마운트 성공

 

L 드라이브 가보니 역시나 plan.txt 파일이 존재했다. 저런 계획이 있었구만...! FLAG 까지 얻기 성공

 

 

끝