SANS Forensic Contest Puzzle #8

국제적 정보보안 교육기관인 SANS의 포렌식팀에서 제공하는 포렌식 문제

문제에 사용되는 패킷 캡처 파일 다운로드

http://forensicscontest.com/contest08/evidence08.pcap

Q1) Joe’s WAP is beaconing. Based on thecontents of the packet capture, what are:

      (Joe's의 WAP 암호화 하였다. 패킷 캡처 내용을 바탕으로 물음에 답하시오.)

      (문제는 WAP라고 되있는데, WEP가 오타난듯 하다.)

a. The SSID of his access point? (access point의 SSID는?) 

A : Ment0rNet

b. The BSSID of his access point?  (access point의 BSSID는?) 

A : 00:23:69:61:00:d0

캡처된 파일을 확인해본 결과, AP가 SSID를 Broadcast하지 않는 것으로 보아 Joe’s는 SSID를 숨김으로 해놓았다. SSID를 숨김으로 해 놓더라도, 802.11 MAC Frame 중 Probe Request Frame과 Probe Response Frame에 SSID가 존재한다. Probe Request Frame과 Probe Response Frame 중 AP가 자신의 정보를 담아서보내는 Frame은 Probe Response Frame이다. 와이어샤크에서 Probe Response Frame을 필터링 하면 SSID와 BSSID를 확인할 수 있다.

[그림1. Probe Response Frame]

Q2) How long is the packet capture, frombeginning to end (in SECONDS - please round to the nearest full second)?

(패킷 캡처하는데 얼마나 시간이 걸렸나?)

A : 413.576954초 

처음부터 끝까지 패킷을 캡처하는 시간을 확인 하는 방법은 간단하다. 와이어샤크에서마지막 패킷을 확인하면 된다.

[그림2. 와이어샤크에서 패킷 캡처 시간 확인]

Q3) How many WEP-encrypted data frames arethere total in the packet capture?

(WEP 암호화 Data Frame을 얼마나 캡처 하였는가?)

A: 59274

WEP Key가 존재 하는 DataFrame 전부 얼마나 캡처를 하였는지 묻는 문제이다. tshark를 이용하여, 다음과 같이 필터링 한다. 

[그림3. WEP Key가 존재 하는 Data Frame확인]

wlan.fc.type_subtype == 0x20 : Data Frame

wlan.fc.protected == 1 : protected 부분이 1로 설정되면, WEP을 이용하여,암호화 하고 있다는 것 을 의미한다.

[그림4. Protected 설정 확인]

wlan.bssid== 00:23:69:61:00:d0 : BSSID가 00:23:69:61:00:d0인패킷을 찾는다.

종합해서 이야기 하면, Data Frame중 Protected가 1로 설정된 패킷을 찾고, 찾은 패킷 중에 BSSID가00:23:69:61:00:d0인 패킷만 찾는다는 말이다. 

wc : 특정파일의 바이트 수나 찾고자 하는 단어수, 행수등을 알고 싶을 때 사용한다. -l 옵션 행의 개수만 출력 

Q4) How many *unique* WEP initializationvectors (IVs) are there TOTAL in the packet capture relating to Joe’s accesspoint?

(Joe's의 Access Point와 관련된 * 고유한 * WEP IVs 패킷은 얼마나 캡처되었는가?)

A : 29719

[그림5.Joe's의 Access Point와 관련된 * 고유한 * WEP IVs 패킷 확인]

wlan.bssid == 00:23:69:61:00:d0 : Joe’s의 AP BSSID

wlan.wep.iv : Initialization Vector만찾는다.

-T dields : -e 옵션을 사용하기 위해 사용 - -T fields는 각 필드를 사용자 정의 대로 출력하고 자 할 때 사용한다.

-e : 표시하고자 하는 필드를 지정한다. Protocol에 의해 패킷을 각각의 요소로 분해 할 수 있는데, 원하는필드만 출력하고자 할 때 사용할 수 있다.

sort –u : 필드내의 값을 제거한 유일한 값만 결과값으로 보여준다.

Q5) What was the MAC address of the stationexecuting the Layer 2 attacks?

(Layer 2 공격을 하고 있는 Station의 MAC Address는?)

A : 1c:4b:d6:69:cd:07

캡처된 패킷을 살펴 보던 중 MAC Address1c:4b:d6:69:cd:07 사용자가 인증을 시작했으며, 한번이 아닌 지속적으로 인증을요청하는 것을 확인 하였다. 하지만,  Joe’s는 AP를 혼자 사용한다고했다.

[그림6. 의심스러운 Station]

아직 이것만 보고 공격자라고 판단하기 힘들어서, 계속 살펴 봤다. 그리고, Joe’s는 접속이 자꾸 끊어 진다고 이야기 한것은 DoS 공격이 진행되어 연결이 자꾸 끊어진것이었다.

[그림7. DoS 공격]

마지막까지 살펴본 결과 MAC Address 1c:4b:d6:69:cd:07 이외에는의심할만한 MAC Address가 발견되지 않았다.

Q6) How many *unique* IVs were generated (relatingto Joe’s access point)

(Joe's의 Access Point와 관련된 * 고유한 * IVs는 얼마나 생성되었는가?)

a) By the attacker station? (공격자 Station에서 생성된 IVs)

A : 14133

[그림8. 공격자 Station에서 생성된 IVs 필터]

wlan.sa == 1c:4b:d6:69:cd:07 : 출발지 MAC Address (공격자)

이외 옵션 문제4번과 동일

b) By all *other* stations combined? (공격자 이외의 Station에서  생성된 IVs)

A : 15587 

공격자의 MAC Address(1c:4b:d6:69:cd:07)를 제외한 나머지 IVs 수를 찾으면 된다.

[그림9. 공격자 이외의 Starion이 생성된 IVs 필터]

Q7) What was the WEP key of Joe’s AP? (Joe's AP의 WEP Key는?)

A : D0:E5:9E:B9:04

캡처된 파일을 aircrack-ng를 이용하여, WEP Key Crack하면 바로 확인 할 수 있다.

[그림10. WEP Key Crack]

Q8.) What were the administrative usernameand password of the targeted wireless access point?

(타겟 무선 Access Point의 관리자의 username과 password는 무엇인가?)

A  : username: admin / password : admin

우선 캡처 파일이 WEP 암호화된 패킷이기 때문에, 문제 7에서 얻은 WEP Key를이용하여 복호화 해준다.

복호화된 캡처 파일을 와이어샤크를 이용하여 불러왔다.

 

1. Joe’s가 AP에서인증을 완료하고, 결합 하였으면 DHCP로 IP를 할당 받았을 것이다. (지문에서 Joe’s의 MAC Address는11:22:33:44:55임을 알려주었다.)

[그림11. Joe's IP 할당 확인]

2. 메뉴에서 [Analyze] 에서 [Expert Info Composite]를 실행시킨다. Expert InfoComposite은 Packet의 Errors,Warnings, Notes, Chats를 상세하게 확인 할 수 있다.

 

Expert Info Composite을 보니 아래와 같이 Server (AP)로 연결을 하려는 것과 같은 패킷이 보인다.

[그림12. Expert Info Composite]

해당 Summary의 Group을확장 시켜 패킷을 TCP Stream 하니, Authorization부분을 확인 할 수 있다.

[그림13. TCP Stream]

혹시나 아닐 수 있어, 다른 패킷들도 확인 하니 모두 Authorization: Basic YWRtaW46YWRtaW4= 으로 동일 하였다. 확인 결과 YWRtaW46YWRtaW4는 Base-64로 인코딩 되어, 디코딩을 거친 문자는 admin:admin이다.

9) What was the WAP administrative passphrasechanged to?

A : hahp0wnedJ00

 

문제8번과 동일하게, ExpertInfo Composite 살펴 보던 중 마지막에 POST 메소드가 의심스러워. 해당 패킷을 TCP Stream하여 살펴 보니, Passphrase를 변경 하는 것을 확인 할 수 있다.

[그림14. 변경된 관리자 passphrase]