[SANS Forensic Contest Puzzle] #3: Ann’s AppleTV

https://forensicscontest.com/2009/12/28/anns-appletv

Ann’s AppleTV – Network Forensics Puzzle Contest

Ann과 Mr. X는 새로운 운영 기반을 마련했습니다. 범죄인 인도 서류가 통과되기를 기다리는 동안 귀하와 귀하의 수사팀은 그녀의 활동을 은밀하게 모니터링합니다. 최근 Ann은 새로운 AppleTV를 구입하여 정적 IP 주소 192.168.1.10으로 설정했습니다. 다음은 그녀의 최신 활동이 담긴 패킷 캡처입니다.

당신은 법의학 수사관입니다. 당신의 임무는 앤이 무엇을 찾았는지, 그녀의 관심사에 대한 프로필을 작성하고, 다음과 같은 증거를 회수하는 것입니다:

OK

1. What is the MAC address of Ann’s AppleTV?
2. What User-Agent string did Ann’s AppleTV use in HTTP requests?
3. What were Ann’s first four search terms on the AppleTV (all incremental searches count)?
4. What was the title of the first movie Ann clicked on?
5. What was the full URL to the movie trailer (defined by “preview-url”)?
6. What was the title of the second movie Ann clicked on?
7. What was the price to buy it (defined by “price-display”)?
8. What was the last full term Ann searched for?

1. Ann's AppleTV의 MAC 주소는 무엇인가요?
2. Ann의 AppleTV가 HTTP 요청에서 사용한 사용자-에이전트 문자열은 무엇입니까?
3. Ann이 AppleTV에서 처음 검색한 4개의 검색어( all incremental searches count )는 무엇이었나요?
4. 앤이 클릭한 첫 번째 영화의 제목은 무엇이었나요?
5. 영화 예고편의 전체 URL("미리보기 URL"로 정의됨)은 무엇이었나요?
6. 앤이 클릭한 두 번째 영화의 제목은 무엇이었나요?
7. 구매 가격은 얼마였나요("가격 표시"로 정의됨)?
8. 앤이 마지막으로 검색한 전체 용어는 무엇이었나요?

 

 

1. Ann's AppleTV의 MAC 주소는 무엇인가요?

 

출발지 192.168.1.10 -> mac주소: 00:25:00:fe:07:c4

 

2. Ann의 AppleTV가 HTTP 요청에서 사용한 사용자-에이전트 문자열은 무엇입니까?

GET 요청을 확인하면 볼 수 있는 User-Agent 문자열 : AppleTV/2.4

 

3. Ann이 AppleTV에서 처음 검색한 4개의 검색어( all incremental searches count )는 무엇이었나요?

 

3-1. 방법1 : tcp stream 열심히 따라가면서 처음 검색한 4개 검색어 찾기

q = query

incrementalSearch?media=movie&q=~~

이 q 부분 뒤에 나오는 문자열이 검색한 query 이다. h, ha, hac, hack 이라고 검색 함을 확인할 수 있다.

 

3-2. 방법2 : HTTP EXPORT

 

http 관련 파일 export 하는 기능을 활용한다.

패킷 순서대로 좀 더 손쉽게 확인할 수 있다.

 

4. 앤이 클릭한 첫 번째 영화의 제목은 무엇이었나요?

 

문제를 잘 읽어보면 문제에서 힌트를 얻을 수 있는 것을 알 수 있다.

문제에서 묻고 있는 정보는 앤이 "클릭"한 첫 번째 영화의 제목이다.

앤은 보고싶은 영화를 "클릭" 해 "요청"했을 것이기 때문에 HTTP 의 request 주소들을 확인한다.

 

직관적으로 viewMovie라고 적혀있는 url을 발견했고 첫 번째 클릭한 영화이기에 먼저 나온 id=333441649를 string 검색 한다.

그 바로 위 패킷을 살펴보면

 

307번 패킷에서 앤(192.168.1.10)이 8.18.65.67에게 id=333441649에 대한 GET 요청을 보냈고

312번 패킷에서 8.18.65.67이 앤(192.168.1.10)에게 200 OK 신호를 전달했음을 확인했다.

 

312번 패킷의 XML코드를 살펴보면

title이 Hackers 인 것을 확인할 수 있다.

답: Hackers

 

5. 영화 예고편의 전체 URL( defined by “preview-url” )은 무엇이었나요?

 

또한 "preview-url"로 정의 된 예고편 URL을 찾기 위해 key 값이 preview-url 인 것을 찾아야 한다.

하나씩 열어볼 수는 없으므로 위에서 확인한 XML을 ascii 텍스트로 복사해 메모장에 붙여넣어 준다.

 

그 후 문자열로 검색해주면

 

url을 찾을 수 있다.

http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640x278.h264lc.d2.p.m4v

6. 앤이 클릭한 두 번째 영화의 제목은 무엇이었나요?

첫 번째 영화 제목을 찾을 때랑 같은 방식으로 살펴보면 처음 hackers라는 영화였던 id=333441649가 아닌, id=283963264가 하나 더 있는 것을 확인할 수 있다.

역시 같은 방식으로 문자열을 검색한 후 확인하면 앤(192.168.1.10)이 GET요청을 통해 해당 id를 요청했고 1186번 패킷을 확인하면 HTTP/1.1 200 OK 라는 응답이 온 것을 볼 수 있다.

 

두 번째로 클릭한 영화 제목은 Sneakers 이다.

7. 구매 가격은 얼마였나요(" price-display "로 정의됨)?

 

두번째로 클릭한 영화 "Sneakers"를 구매했나보다. 역시 askii 텍스트로 복사 해 메모장에 붙여 넣어준다.

그리고 문자열 "price-display"를 검색해본다.

 

$9.99 이다. 

 

8. 앤이 마지막으로 검색한 전체 용어는 무엇이었나요?

 

다시 3번 문제를 풀 때 처럼 http를 export 해준 후 좀 더 예쁘게 확인하기 위해 "q="라고 문자열 필터를 건다.

 

제일 하단으로 내리면 가장 마지막에 검색한 전체 용어를 확인할 수 있다.

iknowyourewatchingme... 너가 날 보고있는 것을 안다.. 좀 무섭다

 

어쨌든 이렇게 8번까지 모든 문제를 풀었다!

1. Ann's AppleTV의 MAC 주소는 무엇인가요?
00:25:00:fe:07:c4
2. Ann의 AppleTV가 HTTP 요청에서 사용한 사용자-에이전트 문자열은 무엇입니까?
AppleTV/2.4
3. Ann이 AppleTV에서 처음 검색한 4개의 검색어( all incremental searches count )는 무엇이었나요?
h,ha,hac,hack
4. 앤이 클릭한 첫 번째 영화의 제목은 무엇이었나요?
Hackers
5. 영화 예고편의 전체 URL("미리보기 URL"로 정의됨)은 무엇이었나요?
http://a227.v.phobos.apple.com/us/r1000/008/Video/62/bd/1b/mzm.plqacyqb..640x278.h264lc.d2.p.m4v
6. 앤이 클릭한 두 번째 영화의 제목은 무엇이었나요?
Sneakers
7. 구매 가격은 얼마였나요("가격 표시"로 정의됨)?
$9.99
8. 앤이 마지막으로 검색한 전체 용어는 무엇이었나요?
iknowyourewatchingme

 

전부 맞게 잘 풀었다!

처음 풀었던 1번은 wireshark의 정말 기본적인 기능에 대해 다뤘고, 2번 문제는 SMTP나 이메일,로그인 세션 등에 대해 다뤘고, 이번 3번 문제는 전반적인 HTTP 관련 패킷들에 대해 wireshark로 볼 수 있는 방법들에 대해 배울 수 있는 문제였다.

 

재밌다~~

 

----------------

 

다 풀고 내용을 좀 더 찾아보다가 재밌는 게 있는 걸 찾았다..

문제만 풀고 띡띡 넘어갔는데, 중간중간 image가 섞여 있는 것을 봤다. 근데 그게 영화 포스터 였던것!!

 

Hackers와 Sneakers의 영화 포스터까지 추출해보는 시간을 갖겠다. 이 내용은 다음에 여기서 수정을 할 지 따로 게시물을 더 다룰지는 고민! 해야겠다 일단 적어놔야지!

 

# Poster 1. Hackers

 

# Poster 2. Sneakers