hacking case #15, mac address vendor
https://www.cfreds.nist.gov/Hacking_Case.html
#15. An internet search for vendor name/model of NIC cards by MAC address can be used
to find out which network interface was used. In the above answer, the first 3 hex
characters of the MAC address report the vendor of the card. Which NIC card was used
during the installation and set-up for LOOK@LAN?
#14 에서 얻은 MAC : 00-10-A4-93-3E-09 임을 알게되었고, 앞의 3 hex 문자를 다음 사이트에서 조회한다.
https://gist.github.com/aallan/b4bb86db86079509e6159810ae9bd3e4
mac-vendor.txt
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #17,18 email account & news server (0) | 2019.02.04 |
|---|---|
| hacking case #16, hacking programs (0) | 2019.02.04 |
| hacking case #14, network settings (IP, MAC) (0) | 2019.02.04 |
| hacking case #13, network card info (0) | 2019.02.04 |
| hakcing case #12, Keyword Search in WinHex (0) | 2019.02.04 |
hacking case #14, network settings (IP, MAC)
https://www.cfreds.nist.gov/Hacking_Case.html
#14. This same file reports the IP address and MAC address of the computer. What are they?
이전의 #12 번 Keyword search 에서의 파일 중 다음의 파일에 IP, MAC address 관련 정보가 있다.
\Program Files\Look@LAN\irunin.ini
IP : 192.168.1.111
MAC : 00-10-A4-93-3E-09
추가적인 정황
레지스트리에서 IP, MAC 관련 정보를 찾기 위해 Registry Explorer 에서 Ctrl + F 를 통해 "IP","MAC" 을 각각 검색해보았다.
현재의 CurrentControlSet 인 ControlSet001 에서는 DhcpIPAddress 값이 삭제되어 있었지만, ControlSet002 에서는 192.168.1.111 로 지워지지 않은 것을 알 수 있다. 이를 통해 해커가 의도적으로 IP 관련 정보를 삭제하려 했다는 것을 유추할 수 있다. 또한, SpoofMac 001122334455 라는 수상한 key 값을 발견하였고, 해커가 Cain 이라는 프로그램을 통해 LAN 에서 Spoofing 공격을 시도하려 했음을 알 수 있다.
즉, "Look@LAN" 을 통해 LAN 구간의 네트워크 정보를 수집하고, "Cain" 을 통해 spoofing 공격을 시도한 것이다.
[IP]
[MAC]
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #16, hacking programs (0) | 2019.02.04 |
|---|---|
| hacking case #15, mac address vendor (0) | 2019.02.04 |
| hacking case #13, network card info (0) | 2019.02.04 |
| hakcing case #12, Keyword Search in WinHex (0) | 2019.02.04 |
| hacking case #2~11, Registry (0) | 2019.02.04 |
hacking case #13, network card info
https://www.cfreds.nist.gov/Hacking_Case.html
#13 List the network cards used by this computer
1. HKLM\Software\Microsoft\Windows NT\CurrentVersion\NetworkCards : 네트워크 카드 이름
2. HKLM\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{하위키} : 네트워크 카드 설정 정보
3. Rega 를 통한 확인
1. 네트워크 카드 이름
HKLM\Software\Microsoft\Windows NT\CurrentVersion\NetworkCards
"GUID" 에 따른 "이름"을 알 수 있다.
2. 네트워크 설정 정보
HKLM\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{하위키}
"GUID" 에 따른 "네트워크 설정정보"를 알 수 있다.
3. REGA 를 통한 확인
1 과 2의 정보를 통해 "이름", "설정정보" 를 매칭할 수 있고, REGA 에서는 이 결과를 종합하여 다음과 같이 보여주고 있다.
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #15, mac address vendor (0) | 2019.02.04 |
|---|---|
| hacking case #14, network settings (IP, MAC) (0) | 2019.02.04 |
| hakcing case #12, Keyword Search in WinHex (0) | 2019.02.04 |
| hacking case #2~11, Registry (0) | 2019.02.04 |
| hacking case #1, Image hash (0) | 2019.02.04 |
hakcing case #12, Keyword Search in WinHex
https://www.cfreds.nist.gov/Hacking_Case.html
#12. A search for the name of “G=r=e=g S=c=h=a=r=d=t” (The equal signs are just to
prevent web crawlers from indexing this name; there are no equal signs in the image
files.) reveals multiple hits. One of these proves that G=r=e=g S=c=h=a=r=d=t is Mr.
Evil and is also the administrator of this computer. What file is it? What software
program does this file relate to?
1. Winhex 에서 문자열 검색을 통해 Greg Schardt 를 검색하면 다음과 같이 두 개의 파일을 발견할 수 있고, 각각 프로그램 LOOK@LAN 의 환경설정 파일과 Setup 로그이다.
\Program Files\Look@LAN\irunin.ini
\Windows\Look@LAN Setup Log.txt
2. 두 개의 파일을 추출한 후 분석한다. SubLimeText 를 통해 문자열을 재검색한다.
[irunin.ini]
[Look@LAN Setup Log.txt]
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #15, mac address vendor (0) | 2019.02.04 |
|---|---|
| hacking case #14, network settings (IP, MAC) (0) | 2019.02.04 |
| hacking case #13, network card info (0) | 2019.02.04 |
| hacking case #2~11, Registry (0) | 2019.02.04 |
| hacking case #1, Image hash (0) | 2019.02.04 |
hacking case #2~11, Registry
https://www.cfreds.nist.gov/Hacking_Case.html
#2~11 번은 레지스트리 정보를 통해 확인한다.
1. Registry 추출하기
2. ControlSet 확인하기
3. TimeZone 확인하기
4. OS information 확인하기
5. Account List 확인하기
6. Computer Name 확인하기
7. Last Shutdown 확인하기
8. Network 확인하기
1. Registry 추출하기
https://holywaterkim.tistory.com/12 의 Winhex 에서 레지스트리 추출하기 참고
HKEY_LOCAL_MACHINE\BCD00000000 {Boot Partition}\Boot\BCD
HEKY_LOCAL_MACHINE\COMPONENTS %SystemRoot%\System32\Config\COMPONENTS
HEKY_LOCAL_MACHINE\SYSTEM %SystemRoot%\System32\Config\SYSTEM
HEKY_LOCAL_MACHINE\SAM %SystemRoot%\System32\Config\SAM
HEKY_LOCAL_MACHINE\SECURITY %SystemRoot%\System32\Config\SECURITY
HEKY_LOCAL_MACHINE\SOFTWARE %SystemRoot%\System32\Config\SOFTWARE
HEKY_LOCAL_MACHINE\HARDWARE Volatile
HKEY_USERS\<SID of local service account> %SystemRoot%\ServiceProfiles\LocalService\NTUSER.DAT
HKEY_USERS\<SID of network service account> %SystemRoot%\ServiceProfiles\NetworkService\NTUSER.DAT
HKEY_USERS\<SID of username> %UserProfile%\NTUSER.DAT
HKEY_USERS\<SID of username>_Classes %UserProfile%\AppData\Local\Microsoft\Windows\Usrclass.dat
HKEY_USERS\.DEFAULT %SystemRoot%\System32\Config\DEFAULT
[주의] Win XP 에서의 NTUSER.DAT, UsrClass.dat 의 위치는 Win7 등과 다르며 다음과 같다.
2. ControlSet 확인하기
HKEY_LOCAL_MACHINE\SYSTEM\Select 의 value Current : 1 이므로, ControlSet001 이 시스템의 설정이다.
3. TimeZone 확인하기
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TimeZoneInformation
DaylightName : Central Daylight Time(UTC -6)
DaylightBias : -60 minutes (+1 hour UTC)
https://www.timeanddate.com/time/zones/
#4. What is the timezone settings? Central Daylight Time(UTC -5)
4. OS information 확인하기
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
#2. What operating system was used on the computer? Microsoft Windows XP
#3. When was the install date? UNIX time 1092955707 (Thu, 19 August 2004 17:48:27. -0500)
#5. Who is the registered owner? Greg Schardt
[DCode] 를 통해 Unix time 을 해석한 결과.
5. Account List 확인하기
https://holywaterkim.tistory.com/15 참고.
\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\[하위 키]
[\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users]
[주의] 위 그림에서의 Created On 값은 Timezone apply 되지 않은 상태이다.
#9. How many accounts are recorded (total number)? 5
#10. What is the account name of the user who mostly uses the computer? Mr. Evil
#11. Who was the last user to logon to the computer? Mr. Evil
[\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\{하위 키}]
S-1-5-18 : System Profiles
S-1-5-19 : Local Service
S-1-5-20 : Network Service
S-1-5-21-{~}-1003 : Mr.Evil
6. Computer Name 확인하기
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
#6. What is the computer account name? N-1A9ODN6ZXK4LQ
7. last shutdown 확인하기
HKLM\System\ControlSet001\Control\Windows
#8. When was the last recorded computer shutdown date/time? C4-FC-00-07-4D-8C-C4-01 (Fri, 27 August 2004 10:46:33 -0500)
8. Network 정보 확인하기
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
# 7. What is the primary domain name? 확인되지 않는다.
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #15, mac address vendor (0) | 2019.02.04 |
|---|---|
| hacking case #14, network settings (IP, MAC) (0) | 2019.02.04 |
| hacking case #13, network card info (0) | 2019.02.04 |
| hakcing case #12, Keyword Search in WinHex (0) | 2019.02.04 |
| hacking case #1, Image hash (0) | 2019.02.04 |
hacking case #1, Image hash
https://www.cfreds.nist.gov/Hacking_Case.html
#1. What is the image hash? Does the acquisition and verification hash match?
FTK Imager 의 "verify Drive/Image" 클릭한 후, E01 이미지를 선택한다.
E01 이미지에는 stored verification hash 가 포함되어 있으나, DD 이미지에는 포함되어 있지 않다.
computed hash = acquisition hash
stored verification hash = verification hash
[Verify Drive/Image]
[E01 image verify] "Match"
[DD image verify]
'Forensic > CFReDS-Hacking Case' 카테고리의 다른 글
| hacking case #15, mac address vendor (0) | 2019.02.04 |
|---|---|
| hacking case #14, network settings (IP, MAC) (0) | 2019.02.04 |
| hacking case #13, network card info (0) | 2019.02.04 |
| hakcing case #12, Keyword Search in WinHex (0) | 2019.02.04 |
| hacking case #2~11, Registry (0) | 2019.02.04 |
data leakage case #58~60, Summary
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
leakage-answers.pdf#58 Create a detailed timeline of data leakage processes.
2015-03-22: Normal business works (installation and configuration of apps)
2015-03-23: Transferring sample confidential data through the internet
2015-03-24: Copying confidential data to storage devices
2015-03-25: Trying to do anti-forensics and take storage devices out
#59 List and explain methodologies of data leakage performed by the suspect.
1. Network Transmission
1.1. E-mail
-2015-03-23 15:19 – space_and_earth.mp4
-2015-03-23 16:38 – links of shared files in cloud storage service
1.2. Cloud storage services
-2015-03-23 16:32 – happy_holiday.jpg, do_u_wanna_build_a_snow_man.mp3
2. Storage Device
2.1. USB flash drive
-2015-03-24 09:58 ~ 10:00 – winter_whether_advisory.zip and so on
-The suspect formatted the partition, but copied files exist in unused area (비할당 영역 복구)
2.2. CD-R
2015-03-24 16:54 ~ 16:58 – 17 files (e.g., winter_whether_advisory.zip and so on)
-The suspect deleted the confidential files, but the files exist in unused area (비할당 영역 복구)
#60 Create a visual diagram for a summary of results.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #56~57, CD - File Carving/Recovery & Anti-Forensic (0) | 2019.02.03 |
|---|---|
| data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic (0) | 2019.01.30 |
| data leakage case #52, anti-forensic (0) | 2019.01.30 |
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
data leakage case #56~57, CD - File Carving/Recovery & Anti-Forensic
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#56 Recover hidden files from the CD-R ‘RM#3’.
How to determine proper filenames of the original files prior to renaming tasks?
Winhex file carving 기능을 이용하여 파일을 복구한다.
1. [File] - [Open] 을 하여 Raw image 를 선택한다.(E01은 Winhex 파일 복구 기능 제한)
2. 다음과 같이 삭제된 파일들을 확인 할 수 있다. "X" 표시되어 있는 파일들은 Recover/copy 를 하여도 내용이 복구가 되지 않는다.
3. [Specialist] - [Interpret Image File As Disk]
4. [Tools]-[Disk Tools]-[File Recovery by Type] 이 기능은 signature 기반 복구기법이다.
5. 다음과 같이 의심이 되는 유형의 파일들인 사진, 문서, 이메일, 음악/동영상에 대해서만 복구를 진행하였다.
6. 다음과 같이 파일 복구가 완료되었다는 메세지가 뜬다.
7. 복구된 파일들을 확인할 수 있으나, 원래 이름은 알 수가 없다.(Signature 기반 복구이기 때문.)
8. ppt, pptx, xls, docx 문서를 열람하여 내용을 확인하고, 해당 내용으로부터 파일 이름을 유추할 수 있다.
[pptx] 열람 예시
#57 What actions were performed for anti-forensics on CD-R ‘RM#3’?
다음과 같이 X표시가 된 파일들을 삭제하였다.
혐의자는 CD에서 기밀파일들을 삭제하고, 보안검색대를 통과하여 해당 파일들을 복구함으로써 기밀정보를 유출하려고 하였다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #58~60, Summary (1) | 2019.02.04 |
|---|---|
| data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic (0) | 2019.01.30 |
| data leakage case #52, anti-forensic (0) | 2019.01.30 |
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
https://holywaterkim.tistory.com/56 "FAT32 폴더/파일 탐색"
#53 Recover deleted files from USB drive ‘RM#2’.
1. Directory entry 분석
2. Winhex file carving 기능을 이용한 파일 복구
1. Directory entry 분석
가. Raw image 를 다시 FTK Imager 로 불러왔을 때 다음과 같이, Directory entry 흔적을 발견할 수 있다.
나. HxD 에서 Hex-Value : 78467846, ASCII : xFxF (Directory entry signature) 를 검색하여 흔적을 찾는다.
다. 검색된 Directory 의 일부는 다음과 같다.
Directory entry 해석에 대한 자세한 내용은 아래의 링크를 참조한다.
https://holywaterkim.tistory.com/56 "FAT32 폴더/파일 탐색"
RM2_USB 가 포맷되기 이전의 폴더와 파일 구조는 다음과 같다.
이전글 data leakage case #25, #26, folder and file opening history의 ShellBag 기록을 참고하여 폴더 구조를 보다 정확히 파악할 수 있다.
\DESIGN\winter_storm.amr
\DESIGN\winter_whether_advisory.zip
\pricing decision\my_favorite_cars.db
\pricing decision\my_favorite_movies.7z
\pricing decision\new_years_day.jpg
\pricing decision\super_bowl.avi
\PROGRESS\my_friends.svg
\PROGRESS\my_smartphone.png
\PROGRESS\new_year_calendar.one
\PROPOSAL\a_gift_from_you.gif
\PROPOSAL\landscape.png
\technical review\diary_#1d.txt
\technical review\diary_#1p.txt
\technical review\diary_#2d.txt
\technical review\diary_#2p.txt
\technical review\diary_#3d.txt
\technical review\diary_#3p.txt
위의 파일들은 이전 글 data leakage case #52, anti-forensic 에서 PC 에서 확인한 삭제된 파일과 같다.
2. Winhex file carving 기능을 이용한 파일 복구
가. Winhex 를 통해 Raw image 를 불러온다.(E01은 Winhex 파일보구 기능 에러 발생)
나. [Specialist]-[Interpret Image File As Disk] 클릭
다. [Tools]-[Disk Tools]-[File Recovery by Type] 클릭 후, 카빙 옵션에서 그림, 문서, 동영상 등을 선택한다.
라. 다음과 같이 옵션에서 선택된 타입의 파일들이 복구되었다.
여기서 선택된 바와 같이 수상한 파일 3가지를 발견할 수 있다.
마. 각각의 파일의 내용을 확인하면 다음과 같다.
#54 What actions were performed for anti-forensics on USB drive ‘RM#2’?
[Hint: this can be inferred from the results of Question 53.]
Some directory entries prior to the quick format do exist in unallocated areas.
Directory entry 가 unallocated areas(비할당 영역)에서 발견된 것으로 미루어 보아, "USB 빠른 포맷" 기능을 사용한 것을 알 수 있다.
USB 빠른 포맷시에는 모든 영역을 포맷하는 것이 아니라, 파일시스템만 재설치하는 것으로 비할당 영역에서 이전의 데이터를 발견 할 수 있다.
#55 What files were copied from PC to USB drive ‘RM#2’?
#52, 53에서 확인한 삭제된 파일들 중 winter_whether_advisory.zip 파일을 점프목록의 RM#2의 경로에서 확인할 수 있으며, 수정시각이 생성시각 보다 이전이므로 해당 파일들이 PC에서 USB로복사된 것임을 알 수 있다.
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #58~60, Summary (1) | 2019.02.04 |
|---|---|
| data leakage case #56~57, CD - File Carving/Recovery & Anti-Forensic (0) | 2019.02.03 |
| data leakage case #52, anti-forensic (0) | 2019.01.30 |
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
data leakage case #52, anti-forensic
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
http://forensicinsight.org/wp-content/uploads/2013/06/F-INSIGHT-NTFS-Log-TrackerKorean.pdf
#52 What actions were performed for anti-forensics on PC at the last day ‘2015-03-25’?
이전글 data leakage case #10, 11 application installed/execution logs 참고.
NTFS Log Tracker 이용하여, $LogFile, $UsnJrnl 분석하여, 특정 기간 동안 일어난 파일 시스템 이벤트를 분석한다.
1. $LogFile : 트랙젝션 로그
볼륨 용량에 따라 크기가 달라질 수 있지만 기본적으로는 최대 64M 이하임
64M 기준, 일반적인 컴퓨터 활동(웹서핑, 문서 작업…)을 할 경우, 2~3 시간 정도의 로그가 남음
2. $UsnJrnl : 변경 로그
컴퓨터를 계속 사용할 경우, 1~2일 정도의 로그가 남음
규칙적으로 쓸 경우(하루 8시간), 4~5일 정도의 로그가 남음
기존에 설치된 프로그램 흔적 중에서 CCleaner 등이 있었으므로, UsnJrnl.csv 에서 Eraser, CCleaner 등의 안티 포렌식 프로그램 설치 시간 후로 행위를 분석한다.
[Eraser 설치 흔적]
[CCleaner 설치 흔적]
[CCleaner 안티 포렌식 행위]
프리패치, 이메일, 임시파일 등과 관련된 흔적을 삭제한다.
[Eraser 의 안티포렌식 행위]
Chrysanthemum.jpg 를 삭제하는데 있어서, 여러번 쓰레기 파일로 덮어씌워 복구가 불가능하도록 한다음 삭제한다.
위와 같이 Eraser 를 이용해 삭제된 파일들은 다음과 같다.
Chrysanthemum.jpg
Desert.jpg
Hydrangeas.jpg
IE11-Windows6.1-x64-en-us.exe
Jellyfish.jpg
Koala.jpg
Lighthouse.jpg
Penguins.jpg
Tulips.jpg
이외에도 윈도우 삭제 기능을 이용하여 삭제한 파일들은 다음과 같다.
a_gift_from_you.gif
landscape.png
my_favorite_cars.db
my_favorite_movies.7z
new_years_day.jpg
super_bowl.avi
diary_#1d.txt
diary_#1p.txt
diary_#2d.txt
diary_#2p.txt
diary_#3d.txt
diary_#3p.txt
winter_storm.amr
winter_whether_advisory.zip
my_friends.svg
my_smartphone.png
new_year_calendar.one
[윈도우 삭제 기능을 이용해 삭제한 파일들]
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
| data leakage case #56~57, CD - File Carving/Recovery & Anti-Forensic (0) | 2019.02.03 |
|---|---|
| data leakage case #53~55 USB - File Carving/Recovery & Anti-forensic (0) | 2019.01.30 |
| data leakage case #51, Recycle Bin (0) | 2019.01.30 |
| data leakage case #47~50, Volume Shadow Copies(VSC) (0) | 2019.01.30 |
| data leakage case #42~46, Windows Search Database, windows.edb (0) | 2019.01.24 |
