DEFCON 21 Round3 NFPC: Write up

DEFCON 2013 Network Forensics Puzzle Contest: On the Trail

Gregory is hesitant to meet with the mysterious Betty. While working late in the office, Gregory hears his phone ring.He checks his phone and knows he has no choice but to attend the meeting with Betty.

Use the Round 3 packet capture in this folder to answer the following question:

 

1.What will Gregory die from, if he fails to meet with Betty?

MD5 CHECKSUM:

round3.pcap:
cf4cd27c090c27598d43f58978fa9a1e

 

Remember:
You must answer the question in this round, in order to unlock the next round of the contest.

※문제 출처: LMG Security

 

문제의 핵심은 Round 3 패킷을 분석해서 Gregory가 어떻게 죽는지에 대해 알아내는 것이다.

 

WireShark를 이용해서 분석을 해보도록 하자.

 

Conversations

Conversations을 통해 전체적인 TCP세션통계를 보면 많은 세션이 TLS를 이용하여 통신한다.

12번째 세션에서 첫 평문 통신을 한다. 이를 봐보자. 

 

12번째 세션

12번째 세션에서 중요 POINT.

1. Content-Type이 mms-message

2. XML 태그에 확장자명 mp4

3. mp4의 파일 시그니처

 

이 세 가지를 생각했을 때 message에 동영상이 담겨있음을 알 수 있다. 파일 스트림부분만 추출해서 실행해보면 영상에서 다음과 같은 부분이 확인된다.

 

추출 영상 화면

여기서 'DYSENTERY'는 '이질'이라는 뜻이며, 전염병의 일종이다.

 

KEY: DYSENTERY