처음 문제를 보고 다운로드 받았을 때 어떻게 해야할지 몰랐습니다...
HxD로 열어봐서 파일시그니처가 뭔지도 확인했지만.. 나오지 않았고.. 막막해서 넘어갔던 문제인데
다시돌아와서 iso나 zip파일 같은 압축파일이 아닐까해서 확장자를 zip으로 바꾸고 확인해보니 가상머신이 나왔습니다!!
처음 윈도우가 다켜지면 조금있다가 갑자기 30초뒤에 꺼진다는 알림이 나옵니다.
대수롭지 않게 생각했지만 진짜 꺼지더라고요... 켜지고 꺼지고 켜지고 꺼지고 반복했습니다.
윈도우가 시작하자마자 작동하는걸 보니 시작프로그램이나 작업스케줄에 설정이 되어있는거 같습니다.
빠르게 30초가 되기전에 작업스케줄에가서 확인해보니 "Restart"라는 이름으로 설정이 되어있었습니다.
... 필요없는 내용같으니 삭제합니다.
이제 본격적으로 문제를 풀어봅시다.
①번
1번은 www.naver.com 으로 접속했을때 경찰청 waring 사이트로 열린다는 문제입니다.
www.naver.com으로 접속을 시도했는데 왠 이상한 사이트가 나오는걸 보니 redirect 시킨다는 느낌을 처음에 받았습니다.
그래서 인터넷 주소를 찾을때 DNS에서 도메인에 대한 IP를 질의하기 전에 사용자PC의 "DNS cache"를 먼저 확인 하기에 windows의 hosts파일을 먼저 확인할 필요가 있었습니다.
(hosts파일 위치: C:\Windows\System32\drivers\etc\host)
hosts.txt라는 파일이 보이길래 확인해보니 별다른 내용이 없었습니다.
모두 주석처리 되어있어 작동하지 않을 것입니다..
그렇게 별생각 없이 다음 문제를 풀때 "숨김파일 해제"를 하고 다시 이 문제로 돌아왔는데
"hosts" 파일이 숨김파일로 되어있었습니다.!!
생각해보니 hosts파일 확장자가 txt라는건 말도 안되는 얘기였습니다..ㅜㅜ (낚였네요..)
해당 파일을 열어보면 다음과 같이 키값을 얻을 수 있습니다.
②번
키로거를 찾는 문제입니다.
키로거는 사용자의 키보드로 입력되는 값들을 전부 획득하는 프로그램입니다.
해당 프로그램이 작동하고 있을때 id/pwd를 입력하여 사이트에 접속하면 악의적인 사용자가 이 값을 얻어 사용할 수 있습니다.
컴퓨터가 꺼져도 다시 켜질 때 작동을 해야하기 때문에 키로거 프로그램은 시작 프로그램으로 등록을 해놓습니다.
[HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\Windows\CurrentVersion\Run]는 컴퓨터가 부팅 시 작동할 프로그램 정보가 있습니다.
아래와 같이 "v1tvr0"라는 이름의 파일이 등록되어 있습니다.
※주의: C:\ 와 c:\는 MD5 hash 할 때 완전히 다른 값을 나타냅니다.. (소문자로 하셔야 합니다.) 한참 고생했네요ㅜ
③번
해당 경로로 이동하시면 다음과 같은 파일들을 만나볼 수 있습니다.
처음에보시면 숨김파일들이 많아 안보이겠지만 숨김해제를 하시고 보시면 많은 파일들이 보이게 됩니다.
처음에 단순히 수정한 날짜와 만든 날짜로 인증을 하는 것이라고 생각했는데..
알고보니 다운로드 시간은 다를 수 있다는걸 알게 되었습니다.
"BrowsingHistoryView"라는 툴을 이용해서 브라우져에 접속한 시간과 다운로드 받은 시간들을 확인할 수 있습니다.
④번
키로거로 알아내고자 했던 내용을 찾으면 되는 문제입니다.
숨겨진 폴더인 "v1valv\Computer1" 에 들어가시면 아래와 같은 폴더가 나옵니다.
첫번째 파일은 오늘 날짜로 제가 이리저리 찾으면서 쓴 단어들이 있을 것이고,
두번째 파일에 16년도로 이 문제가 만들어지 날짜이니 들어가봅니다.
파일이 두개 있는데 "z1.dat" 파일을 보시면 키보드로 입력했던 문자열들이 나올꺼고 키값까지 나와있습니다.
4개의 인증키 값을 모두 합쳐서 MD5 Hash하고 대문자를 소문자로 바꾸면 문제 인증키가 됩니다.
[참고]
키로거 설명: http://blog.naver.com/PostView.nhn?blogId=abyofasha&logNo=97321742
BrowsingHistoryView 설명: https://m.post.naver.com/viewer/postView.nhn?volumeNo=6955001&memberNo=21532239
