hacking case #14, network settings (IP, MAC)

https://www.cfreds.nist.gov/Hacking_Case.html

#14. This same file reports the IP address and MAC address of the computer. What are they?

---

이전의 #12 번 Keyword search 에서의 파일 중 다음의 파일에 IP, MAC address 관련 정보가 있다.

\Program Files\Look@LAN\irunin.ini

IP : 192.168.1.111

MAC : 00-10-A4-93-3E-09

추가적인 정황

---

레지스트리에서 IP, MAC 관련 정보를 찾기 위해 Registry Explorer 에서 Ctrl + F 를 통해 "IP","MAC" 을 각각 검색해보았다.

현재의 CurrentControlSet 인 ControlSet001 에서는 DhcpIPAddress 값이 삭제되어 있었지만, ControlSet002 에서는 192.168.1.111 로 지워지지 않은 것을 알 수 있다. 이를 통해 해커가 의도적으로 IP 관련 정보를 삭제하려 했다는 것을 유추할 수 있다. 또한, SpoofMac 001122334455 라는 수상한 key 값을 발견하였고, 해커가 Cain 이라는 프로그램을 통해 LAN 에서 Spoofing 공격을 시도하려 했음을 알 수 있다.

즉, "Look@LAN" 을 통해 LAN 구간의 네트워크 정보를 수집하고, "Cain" 을 통해 spoofing 공격을 시도한 것이다.

[IP]

[MAC]