hacking case #15, mac address vendor
https://www.cfreds.nist.gov/Hacking_Case.html
#15. An internet search for vendor name/model of NIC cards by MAC address can be used
to find out which network interface was used. In the above answer, the first 3 hex
characters of the MAC address report the vendor of the card. Which NIC card was used
during the installation and set-up for LOOK@LAN?
#14 에서 얻은 MAC : 00-10-A4-93-3E-09 임을 알게되었고, 앞의 3 hex 문자를 다음 사이트에서 조회한다.
https://gist.github.com/aallan/b4bb86db86079509e6159810ae9bd3e4
mac-vendor.txt
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #17,18 email account & news server (0) | 2019.02.04 |
|---|---|
| hacking case #16, hacking programs (0) | 2019.02.04 |
| hacking case #14, network settings (IP, MAC) (0) | 2019.02.04 |
| hacking case #13, network card info (0) | 2019.02.04 |
| hakcing case #12, Keyword Search in WinHex (0) | 2019.02.04 |
hacking case #14, network settings (IP, MAC)
https://www.cfreds.nist.gov/Hacking_Case.html
#14. This same file reports the IP address and MAC address of the computer. What are they?
이전의 #12 번 Keyword search 에서의 파일 중 다음의 파일에 IP, MAC address 관련 정보가 있다.
\Program Files\Look@LAN\irunin.ini
IP : 192.168.1.111
MAC : 00-10-A4-93-3E-09
추가적인 정황
레지스트리에서 IP, MAC 관련 정보를 찾기 위해 Registry Explorer 에서 Ctrl + F 를 통해 "IP","MAC" 을 각각 검색해보았다.
현재의 CurrentControlSet 인 ControlSet001 에서는 DhcpIPAddress 값이 삭제되어 있었지만, ControlSet002 에서는 192.168.1.111 로 지워지지 않은 것을 알 수 있다. 이를 통해 해커가 의도적으로 IP 관련 정보를 삭제하려 했다는 것을 유추할 수 있다. 또한, SpoofMac 001122334455 라는 수상한 key 값을 발견하였고, 해커가 Cain 이라는 프로그램을 통해 LAN 에서 Spoofing 공격을 시도하려 했음을 알 수 있다.
즉, "Look@LAN" 을 통해 LAN 구간의 네트워크 정보를 수집하고, "Cain" 을 통해 spoofing 공격을 시도한 것이다.
[IP]
[MAC]
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #16, hacking programs (0) | 2019.02.04 |
|---|---|
| hacking case #15, mac address vendor (0) | 2019.02.04 |
| hacking case #13, network card info (0) | 2019.02.04 |
| hakcing case #12, Keyword Search in WinHex (0) | 2019.02.04 |
| hacking case #2~11, Registry (0) | 2019.02.04 |
hacking case #13, network card info
https://www.cfreds.nist.gov/Hacking_Case.html
#13 List the network cards used by this computer
1. HKLM\Software\Microsoft\Windows NT\CurrentVersion\NetworkCards : 네트워크 카드 이름
2. HKLM\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{하위키} : 네트워크 카드 설정 정보
3. Rega 를 통한 확인
1. 네트워크 카드 이름
HKLM\Software\Microsoft\Windows NT\CurrentVersion\NetworkCards
"GUID" 에 따른 "이름"을 알 수 있다.
2. 네트워크 설정 정보
HKLM\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{하위키}
"GUID" 에 따른 "네트워크 설정정보"를 알 수 있다.
3. REGA 를 통한 확인
1 과 2의 정보를 통해 "이름", "설정정보" 를 매칭할 수 있고, REGA 에서는 이 결과를 종합하여 다음과 같이 보여주고 있다.
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #15, mac address vendor (0) | 2019.02.04 |
|---|---|
| hacking case #14, network settings (IP, MAC) (0) | 2019.02.04 |
| hakcing case #12, Keyword Search in WinHex (0) | 2019.02.04 |
| hacking case #2~11, Registry (0) | 2019.02.04 |
| hacking case #1, Image hash (0) | 2019.02.04 |
hakcing case #12, Keyword Search in WinHex
https://www.cfreds.nist.gov/Hacking_Case.html
#12. A search for the name of “G=r=e=g S=c=h=a=r=d=t” (The equal signs are just to
prevent web crawlers from indexing this name; there are no equal signs in the image
files.) reveals multiple hits. One of these proves that G=r=e=g S=c=h=a=r=d=t is Mr.
Evil and is also the administrator of this computer. What file is it? What software
program does this file relate to?
1. Winhex 에서 문자열 검색을 통해 Greg Schardt 를 검색하면 다음과 같이 두 개의 파일을 발견할 수 있고, 각각 프로그램 LOOK@LAN 의 환경설정 파일과 Setup 로그이다.
\Program Files\Look@LAN\irunin.ini
\Windows\Look@LAN Setup Log.txt
2. 두 개의 파일을 추출한 후 분석한다. SubLimeText 를 통해 문자열을 재검색한다.
[irunin.ini]
[Look@LAN Setup Log.txt]
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #15, mac address vendor (0) | 2019.02.04 |
|---|---|
| hacking case #14, network settings (IP, MAC) (0) | 2019.02.04 |
| hacking case #13, network card info (0) | 2019.02.04 |
| hacking case #2~11, Registry (0) | 2019.02.04 |
| hacking case #1, Image hash (0) | 2019.02.04 |
hacking case #2~11, Registry
https://www.cfreds.nist.gov/Hacking_Case.html
#2~11 번은 레지스트리 정보를 통해 확인한다.
1. Registry 추출하기
2. ControlSet 확인하기
3. TimeZone 확인하기
4. OS information 확인하기
5. Account List 확인하기
6. Computer Name 확인하기
7. Last Shutdown 확인하기
8. Network 확인하기
1. Registry 추출하기
https://holywaterkim.tistory.com/12 의 Winhex 에서 레지스트리 추출하기 참고
HKEY_LOCAL_MACHINE\BCD00000000 {Boot Partition}\Boot\BCD
HEKY_LOCAL_MACHINE\COMPONENTS %SystemRoot%\System32\Config\COMPONENTS
HEKY_LOCAL_MACHINE\SYSTEM %SystemRoot%\System32\Config\SYSTEM
HEKY_LOCAL_MACHINE\SAM %SystemRoot%\System32\Config\SAM
HEKY_LOCAL_MACHINE\SECURITY %SystemRoot%\System32\Config\SECURITY
HEKY_LOCAL_MACHINE\SOFTWARE %SystemRoot%\System32\Config\SOFTWARE
HEKY_LOCAL_MACHINE\HARDWARE Volatile
HKEY_USERS\<SID of local service account> %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT
HKEY_USERS\<SID of network service account> %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT
HKEY_USERS\<SID of username> %UserProfile%\NTUSER.DAT
HKEY_USERS\<SID of username>_Classes %UserProfile%\AppData\Local\Microsoft\Windows\Usrclass.dat
HKEY_USERS\.DEFAULT %SystemRoot%\System32\Config\DEFAULT
[주의] Win XP 에서의 NTUSER.DAT, UsrClass.dat 의 위치는 Win7 등과 다르며 다음과 같다.
2. ControlSet 확인하기
HKEY_LOCAL_MACHINE\SYSTEM\Select 의 value Current : 1 이므로, ControlSet001 이 시스템의 설정이다.
3. TimeZone 확인하기
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TimeZoneInformation
DaylightName : Central Daylight Time(UTC -6)
DaylightBias : -60 minutes (+1 hour UTC)
https://www.timeanddate.com/time/zones/
#4. What is the timezone settings? Central Daylight Time(UTC -5)
4. OS information 확인하기
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
#2. What operating system was used on the computer? Microsoft Windows XP
#3. When was the install date? UNIX time 1092955707 (Thu, 19 August 2004 17:48:27. -0500)
#5. Who is the registered owner? Greg Schardt
[DCode] 를 통해 Unix time 을 해석한 결과.
5. Account List 확인하기
https://holywaterkim.tistory.com/15 참고.
\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\[하위 키]
[\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users]
[주의] 위 그림에서의 Created On 값은 Timezone apply 되지 않은 상태이다.
#9. How many accounts are recorded (total number)? 5
#10. What is the account name of the user who mostly uses the computer? Mr. Evil
#11. Who was the last user to logon to the computer? Mr. Evil
[\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\{하위 키}]
S-1-5-18 : System Profiles
S-1-5-19 : Local Service
S-1-5-20 : Network Service
S-1-5-21-{~}-1003 : Mr.Evil
6. Computer Name 확인하기
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
#6. What is the computer account name? N-1A9ODN6ZXK4LQ
7. last shutdown 확인하기
HKLM\System\ControlSet001\Control\Windows
#8. When was the last recorded computer shutdown date/time? C4-FC-00-07-4D-8C-C4-01 (Fri, 27 August 2004 10:46:33 -0500)
8. Network 정보 확인하기
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
# 7. What is the primary domain name? 확인되지 않는다.
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #15, mac address vendor (0) | 2019.02.04 |
|---|---|
| hacking case #14, network settings (IP, MAC) (0) | 2019.02.04 |
| hacking case #13, network card info (0) | 2019.02.04 |
| hakcing case #12, Keyword Search in WinHex (0) | 2019.02.04 |
| hacking case #1, Image hash (0) | 2019.02.04 |
hacking case #1, Image hash
https://www.cfreds.nist.gov/Hacking_Case.html
#1. What is the image hash? Does the acquisition and verification hash match?
FTK Imager 의 "verify Drive/Image" 클릭한 후, E01 이미지를 선택한다.
E01 이미지에는 stored verification hash 가 포함되어 있으나, DD 이미지에는 포함되어 있지 않다.
computed hash = acquisition hash
stored verification hash = verification hash
[Verify Drive/Image]
[E01 image verify] "Match"
[DD image verify]
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #15, mac address vendor (0) | 2019.02.04 |
|---|---|
| hacking case #14, network settings (IP, MAC) (0) | 2019.02.04 |
| hacking case #13, network card info (0) | 2019.02.04 |
| hakcing case #12, Keyword Search in WinHex (0) | 2019.02.04 |
| hacking case #2~11, Registry (0) | 2019.02.04 |
