DEFCON 21 Round1 NFPC: Write up

DEFCON 2013 Network Forensics Puzzle Contest: An Affair to Remember

Having accepted the Jensen case, Jack and his team install network taps and wireless capture devices in Mr. Jensen'business and home. 

During monitoring, Jack and his team discover an interesting suspect, Betty. 

This could be the woman Mrs. Jensen fears her husband is having an affair with. 

Jack assigns you the forensic analyst to look further into the information capture. 

You learn that a meeting has been setup. 
Use the Round 1 packet capture in this folder to learn more about the case and answer the following question: 

1. What day of the week is the meeting scheduled for? 


MD5 CHECKSUM:

round1.pcap:  
d0c7ee4bd7b18d6dea1f35b09b39d4c8

Remember: 
You must answer the question in this round, in order to unlock the next round of the contest.

 

※문제 출처: LMG Security

 

문제의 핵심은 Round 1 패킷을 분석해서 회의가 예정된 요일이 언제인지 알아내는 것이다.

 

WireShark를 이용해서 분석을 해보도록 하자.

회의가 예정된 요일을 찾아야하므로 패킷의 용량, 프로토콜 등을 참고한다.

 

IRC 프로토콜 흔적 발견

패킷을 보면 7번째 패킷에서 IRC 프로토콜로 통신을 요청하는 것을 볼 수 있는데 이에 대해  17번 패킷에서 응답이 왔으므로 통신을 했음을 알 수 있다. IRC 프로토콜 특징상 데이터가 기록될 확률이 높다. 해당 패킷에 대한 흐름을 보기 위해 Follow TCP Stream을 하면 아래와 같이 대화를 주고받는 내용을 볼 수 있다.

통신 내용

TCP Stream 내용을 보면 Greg와 Betty가 대화를 한 내용이 발견됐다. 서로 인사를 나누고 Greg가 어떤 날에 만나고 싶은지 물어보고 Betty가 대답을 하는데 내용이 인코딩되어 원래의 내용을 알아볼 수가 없다.

 

인코딩 된 문자열들을 보면 16진수로 이루어졌고 각각 세미콜론(;)으로 1바이트씩 나누었다. 이를 보면 HTML 인코딩이 된 것이라 추측된다. HTML디코딩을 위한 웹사이트에 들어가 문자열을 복호화한다.

HTML 디코딩 과정을 통해서 Betty의 대답을 이어서 볼 수 있다.

대화 내용을 보면 수요일 오후 2시에 만남을 확인할 수 있다.

 

KEY: Wednesday