xcz.kr - XCZ Company Hacking Incident Prob27

Title

XCZ Company Hacking Incident

   

Description

Korean

어느 날 해커 'FORENSER' 는 BOSS 의 명령을 받고 계획까지 치밀하게 세운 뒤,

"XCZ" 라는 회사의 내부에 침입하여 기밀문서를 찾아 외부로 유출하는 과정 중 현장에서 발각되었다.

조사 중에서도 죄의식을 느끼지 못하고 질문에도 답하지 않고 물어보았자 시간을 버리는 일이었다.

결국 참다 못해 직접 나서서 찾기로 하였다.

증거를 찾을 수 있는 단서는 'FORENSER' 가 가지고 있던 하드디스크 하나. 나는 일단 하드디스크에서 증거가 될 수 있을만한 것을 추려내었다.

키 값을 찾으세요.

   

English

One day, hackers under the command of the BOSS 'FORENSER' plan densely built after

Were caught in the field of intrusion by a company called "XCZ" internal confidential document leaked to the external.

It was a waste of time do not feel guilty survey among the questions asked without answer.

Eventually was impatient to go out and find.

Clues can be found in the the evidence 'FORENSER' one hard disk. I had to cull evidence from one hard disk to be.

Find the key.

   

자 이번에 파일을 다운받아서 열어보면 디스크이고 윈도우 운영체제의 폴더들이라는 것을 알 수 있다.

대충 뒤져보니 못찾겠어서 FTK로 돌려보았다.

FTK는 저번에 디지털포렌식전문가 2급을 취득할 때 깔아 놓은거라 바로 사용해보았다.

FTK는 데모버전은 공짜이다. 하지만 돌리는데 한계가 있다.

오 뭔가 잡혔다.

   

자, 이제 기밀문서를 외부로 유출한 증거를 찾으면 되는 것이다.

뭔가 이번 문제는 디지털포렌식전문가 2급 실기를 보는 듯한 느낌이...

물론 시험을 볼 때는 보고서를 작성해야 했다.

   

여튼 좀 뒤져보면 나올 것 같다.

나왔다.

boss에게 파일을 보내면서 열어보라고 한다.

발신자는 FORENSER 인 것을 알 수 있으므로 해커가 보낸 메일이다.

그리고 첨부파일은 confidential.doc 이다. 이미 파일명 자체가 기밀이다.

그럼 저 파일을 찾으면 왠지 키값이 들어있을 것 같다.

   

confidential.doc를 찾아서 내용을 보니

이렇게 나왔다.

키값이 들어있지 않아 처음에 당황했다.

이게 아닌가?

   

text로 보면 키값이 존재했다.

흠??

   

워드파일을 복구해서 직접 열어서 블록을 씌우면 보였다;;ㅋㅋ

   

   

지금까지 3문제를 풀었는데

난이도가 상당히 쉽다.

나도 아직 공부를 막 시작한 초보자이지만 충분히 스스로 풀만한 문제들이다.

기술이 들어있지 않고 guessing과 툴에 대해 조금만 안다면 충분히 쉽게 풀 수 있다.

xcz.kr에 포렌식문제가 5개 뿐이어서 얼른 5개를 풀고 http://real-forensic.com/ 랑 풀던 KISA온라인해킹방어훈련장의 포렌식 문제들도 풀어야겠다.