cfreds hacking case Part.2 [1~15]

각 항목 정답 및 풀이

1. What is the image hash? Does the acquisition and verification hash match? (ftk, md5)

[SCHARDT.001 ~ 008 | DD image] → wget을 통해 바이너리 다운로드

MD5 값 일치 확인 완료

FTK Drive/image Verify를 통해, 해쉬 값 검증 및 컴퓨터 해쉬, 해쉬 일치 확인 가능.

 

2. What operating system was used on the computer? (레지스트리)

레지스트리 파일 추출 및 RegRipper를 이용한 리포트 체크

위의 총 4가지 레지스트리를 추출하여, RegRipper를 이용해 분석 진행

software REG | winver, win_cv (reg_ripper)

 

Microsoft\Windows NT\CurrentVersion

-> ProductName : Microsoft Windows XP

-> InstallDate : Thu Aug 19 22:48:27 2004 (UTC)

Answer : Microsoft Windows XP

3. When was the install date?

Answer : Thu Aug 19 22:48:27 2004(UTC)

Answer : Thu Aug 19 17:48:27 2004(UTC-5)

위 결과는 UTC 기준이기 때문에, 타임존을 맞출 경우, 2번째 답안이 정답입니다.

4. What is the timezone settings?

system reg | timezone (reg-ripper)

시스템 레지스트리, 타임존 결과 값을 통해, UTC -5 [CST]라는 것을 알 수 있습니다.

Answer : CST [UTC-5]

5. Who is the registered owner?

 

Software | WinNT_CV | Plugin (Reg_ripper)

Microsoft\Windows NT\CurrentVersion

-> Registered0wner : Greg Schardt

소프트웨어 레지스트리를 통해, Registered0wner를 체크, 소유자를 확인할 수 있습니다.

Answer : Greg Schardt (G=r=e=g S=c=h=a=r=d=t)

 

6. What is the computer account name?

 

System | compname | Plugin (Reg_ripper)

ControlSet001\Control\ComputerName\ComputerName

-> ComputerName : N-1A9ODN6ZXK4LQ

Answer : ComputerName = N-1A9ODN6ZXK4LQ

시스템 레지스트리에서, compname (Regripper)를 통해, 위 결과를 뽑아냈습니다.

 

7.What is the primary domain name?

• to-do | how to check..?

• volatility? | network packet info

  DhcpNameServer 정보는 확인할 수 있었으나, 도메인과 관련된 정보는 확인 불가

  → 다른 아티팩트 추가 조사 및 분석 필요.

8. When was the last recorded computer shutdown date/time?

System | shutdown | Plugin (Reg_ripper)

ControlSet001\Control\Windows

-> ShutdownTime : Fri Aug 27 15:46:33 2004 (UTC)

Answer : ShutdownTime : Fri Aug 27 15:46:33 2004 (UTC)

UTC -5 기준이라면.. 아래가 정답이 됩니다.

Answer : ShutdownTime : Fri Aug 27 10:46:33 2004 (UTC-5)

 

9. How many accounts are recorded (total number)?

SAM | User Information (samparse.pl) | Plugin (Reg_ripper)

SAM\Domains\Account\Users

-> Administrator | Guest | HelpAssistant | SUPPORT_388945a0 | Mr. Evil

total number = 5

Answer : 5명

 

10/11.

What is the account name of the user who mostly uses the computer?

Who was the last user to logon to the computer?

[컴퓨터를 주로 사용하는 사용자의 계정 이름은?] / [컴퓨터에 마지막으로 로그온한 사용자가 누구였습니까?]

 

SAM | User Information (samparse.pl) | Plugin (Reg_ripper)

SAM\Domains\Account\Users

-> Last Login Date : Fri Aug 27 15:08:23 2004

타 계정 Last Login Date 값 → 존재하지 않음.

Answer : Mr. Evil

 

10번 흔적에서, 마지막으로 로그온한 사용자 체크 가능.

Answer : Mr. Evil

 

12. A search for the name of “G=r=e=g S=c=h=a=r=d=t” reveals multiple hits. One of these proves that G=r=e=g S=c=h=a=r=d=t is Mr. Evil and is also the administrator of this computer. What file is it? What software program does this file relate to?

FTK imager에서 위 이름을 hex 값으로 검색한 결과, 아래와 같이 두 결과를 확인할 수 있었음.

 

• 소프트웨어 중, Look@LAN과 관련되었다는 것을 확인

• Look@LAN Setup Log.txt
• 파일 체크 가능.

• irunin.ini
• 파일 체크 가능.

-> /[root]/Program Files/Look@LAN/irunin.ini

-> /[root]/WINDOWS/Look@LAN Setup Log.txt

위 2가지 파일에서, “G=r=e=g S=c=h=a=r=d=t” 체크 가능.

Look@LAN 소프트웨어 프로그램과 관련.

 

13. List the network cards used by this computer [이 컴퓨터에서 사용하는 네트워크 카드 나열]

Software | networkcards | Plugin (Reg_ripper)

Microsoft\Windows NT\CurrentVersion\NetworkCards

\GUID[X,X]\Description

소프트웨어 레지스트리 | networkcards 체크

Answer

-> Xircom CardBus Ethernet 100 + Modem 56 (Ethernet Interface)

[Thu Aug 19 17:07:19 2004]

-> Compaq WL110 Wireless LAN PC Card [Fri Aug 27 15:31:44 2004]

 

14. This same file reports the IP address and MAC address of the computer. What are they?

irunin.ini

%LANIP%=192.168.1.111

%LANNIC%=0010a4933e09

→ IP 및 mac 주소 체크 가능.

15. An internet search for vendor name/model of NIC cards by MAC address can be used to find out which network interface was used. In the above answer, the first 3 hex characters of the MAC address report the vendor of the card. Which NIC card was used during the installation and set-up for LOOK@LAN? [MAC 주소에 의한 NIC 카드의 벤더 이름/모델에 대한 인터넷 검색은 어떤 네트워크 인터페이스가 사용되었는지 알아내는 데 사용될 수 있다. 위의 답변에서 MAC 주소의 처음 3개의 16진수 문자는 카드의 판매업자를 보고한다. LOOK@LAN 설치 및 설정 중에 사용된 NIC 카드]

위 결과에서, LANNIC 값 | OUI Lookup Tool 체크

→ 결과 값.

/[root]/WINDOWS/System32/config/SAM

MAC: 0010A4933E09 | OUI Lookup, MAC Address, 0010A4933E09, XIRCOM, 0010A4,00-10-A4,00:10:A4