드림핵 포렌식 Don't Do(S) That!

https://dreamhack.io/wargame/challenges/1696

드림이가 실습실에서 인터넷 검색을 하고 있는데..! 아니 잠깐..?

갑자기 렉이 발생하기 시작했어요…! 왜 이러지..??

음.. 이런.. 실습실 안에 있는 누군가가.. 장난을 치는 것 같네요..!

평소 드림핵을 통해 정보보안을 공부한 드림이는 범인을 찾고자 하는데…

과연… 드림이는 범인을 잡아낼 수 있을까요?

★ Flag는 공격자의 IP 주소를 base64 Encoding 한 값 입니다.ex) 127.0.0.1 → bisc2024{MTI3LjAuMC4x}

 

문제 파일을 다운 받아보면 pcap파일이 있습니다. 패킷을 분석하라는 뜻인가봅니다.

 

9000번대쯤 패킷들을 확인해보면 TCP out-of-order, TCP Spurious Retransmission 등 일반적인 통신과는 조금 벗어난 패킷들이 눈에 띕니다. 순서대로 전송되지 않았거나, 혹은 계속해서 재전송 되는데 아마 여기서 렉이 걸린것이라 추측됩니다. 우선 여기서 확실히 알 수 있는 점은 192.168.0.11 주소를 사용하고 있는 측이 피해자라는 것입니다. 여기서 src ip는 104.18.16.5인데 당연히 이걸 Base64로 인코딩해서 정답을 넣어보았더니 당연히 정답이 아니었습니다. (이랬으면 너무 쉬웠겠죠?)

 

우선 192.168.0.11의 mac주소를 찾아보았는데 이더넷(MAC) 주소는 EFMNetworks 계열 58:86:94:bc:98:47임을 알 수 있습니다.

 

여기서 특이한 점은 공격자처럼 보이는 104.18.16.5의 이더넷(MAC) 주소가 58:86:94:bc:98:47, 즉 피해자 측과 공격자 측의 맥주소가 똑같다는 것입니다! 이는 104.18.16.5라는 공인 IP가 내부 장비에서 스푸핑 되었음을 의미합니다. 적은 내부에 있겠다는 판단이 듭니다. 그러면 같은 이더넷 주소를 사용하는 내부 사설 IP를 찾아보겠습니다. 즉, 192.168.0.X인 IP들을 살펴보는 것입니다.

eth.src == 58:86:94:bc:98:47 and ip.src != 192.168.0.1 and ip.src != 104.18.16.5

와이어 샤크에서 해당 명령어로 필터링 해주었습니다. 같은 이더넷 주소를 사용하면서 동시에 192.168.0.1, 104.18.16.5를 사용하지 않는 패킷만 따로 관찰을 하는 것입니다. 그리고 와이어 샤크 통계 → 종단점 → IPv4 탭으로 들어가서 관련 IP들만 묶어서 관찰해보았습니다 .

 

이렇게 3가지로 경우가 좁혀집니다. 192.168.0.11은 피해자 측이니 당연히 범인에서 제외됩니다.

그러면 192.168.0.6과 192.168.0.22 둘을 확인해 보겠습니다.

 

192.168.0.6 필터링해서 확인한 결과입니다. 정상적으로 통신을 하는 모습이 보입니다.

 

192.168.0.22 필터링 해서 확인한 결과입니다. 보내기만 하고 받은 패킷은 따로 없으면서 192.168.0.11에게 빠르게 연속적으로 ping을 요청하는 모습입니다. 또한 no response found!를 봤을 때 ICMP Flood 공격자라고 볼 수 있습니다.

 

따라서 192.168.0.22를 Base64로 인코딩 한것이 답이 됩니다.

 

<추가 설명>

문제를 풀고 나서 여러분들의 풀이 또한 찾아봤는데요, 쉽고 좋은 풀이가 있어서 추가적으로 적습니다

(출처 : j1nBang 드림핵 무료 풀이 https://dreamhack.io/users/53694/)

문제 제목 자체가 Don’t Do(s) That!인걸로 보아 Dos 공격이 아니지 않을까.. 추측하는 재치를 가지신 분들이 있더라고요 (리스펙)

그래서 와이어 샤크에서 필터링 icmp.type==8을 입력하면 192.168.0.22가 보낸 패킷만 뜨게 됩니다.

이 필터는 ICMP Echo Request, 즉 Ping 요청만 보여주는 것이기 때문에 이 방법을 통하면 훨씬 빠르게 찾을 수 있을 것 같습니다.