M4ndU의 만두만두한 블로그

Secret Document - Forensics

A Classified.docx file is given.

However, this files is not docx file.

This file is pcap file.

Rename .docx to .pcapng, then convert pcapng to pcap (https://pcapng.com/) (for using networkminer).

Open a Projan.pcap with networkminer.

The windows Defender detect a malware.

Upload goog1e_born_help.exe to virustotal.

ponmocup

ImposterApp - forensics

A memdump file is given.

Win8SP0x64

chrome, ie ,cmd, powershell, calc

-> chromehistory, iehistory, cmdscan, clipboard ... : nothing

calc.exe is suspicious.

procdump -p 2816

flag.

Sans Network Forensic [Puzzle 3] #1~#8

MAC주소는 여기에서 확인할 수 있다.

192.168.1.10의 http request 패킷을 확인한다.

http 필터를 걸고 search 관련 페이지에 파라미터 명이 q인 query가 넘어가는 것을 확인할 수 있다.

q에 검색내용이 담기므로 networkminer를 돌려서 해당 파라미터에 들어간 값들만 모아볼 수도 있다.

hack, sneak, iknowyourewatchingme 3개밖에 안보였는데 답이 h, ha, hac, hack 이란다.. 쩦

hack을 검색한 이후 패킷에서 찾을 수 있다.

307번 패킷에 대한 response 페이지 312번 패킷에 follow > HTTP stream 에 들어가서

preview를 검색했더니 나왔다.

처음에 hacker찾았던 패킷을 기준으로 info 정렬했더니 나왔다.

5번 문제처럼 하면 된다.

이 내용은 이미 #1 풀면서 구했다!

pcap파일이 주어진다.

networkminer로 messages탭을 살펴보면

이메일 내용을 확인할 수 있다.

snowdend(172.29.1.23)이 assange(172.29.1.20)에게 스캔들 관련 문서를 곧 보내주겠다고 한다.

따라서 23139프레임 이후에 해당 문서 파일이 담긴 프레임이 있을 것으로 추정된다.

Files탭에서 23139프레임 이후인 24186프레임에서 documents.zip 파일이 smb를 통해 전송된 것을 확인할 수 있다.

172.29.1.23에서 172.29.1.20로 직접 전송되었다.

해당 압출파일을 풀면 여러 파일들이 존재하는데, 그 중 \Enter the WuTang\track6.docx 내용을 base64 디코딩하면 이름 목록을 확인할 수 있다.