[SANS Forensic Contest Puzzle] #4: The Curious Mr. X

https://forensicscontest.com/2010/02/03/puzzle-4-the-curious-mr-x

Puzzle #4: The Curious Mr. X – Network Forensics Puzzle Contest

멕시코에서 도망친 X 씨는 인터웹을 통해 북극 핵융합 연구 시설(ANFRF)의 연구소 서브넷에 원격으로 잠입합니다.
시설 내부에서 (손상된 시스템을 통해) 시끄러운 네트워크 정찰을 수행합니다.
안타깝게도 X 씨는 아직 그다지 은밀하지 않습니다.

안타깝게도 X 씨에게는 실험실의 네트워크가 모든 트래픽(전체 콘텐츠 포함)을 포착하도록 장비되어 있습니다.
그의 활동은 여러분에 의해 발견되고 분석됩니다!

다음은 Mr. X의 활동이 담긴 패킷 캡처입니다. 네트워크 포렌식 조사관으로서 귀하의 임무는 다음 질문에 답하는 것입니다:

1. X 씨 스캐너의 IP 주소는 무엇이었나요?
2. X 씨가 처음으로 실시한 포트 스캔의 경우 어떤 유형의 포트 스캔이었나요? (참고: 스캔은 수천 개의 패킷으로 구성되어 있습니다.) 하나를 선택하세요:
TCP SYN
TCP ACK
UDP
TCP 연결
TCP XMAS
TCP RST
3. X 씨가 발견한 대상의 IP 주소는 무엇입니까?
4. 그가 찾은 Apple 시스템의 MAC 주소는 무엇입니까?
5. 그가 찾은 Windows 시스템의 IP 주소는 무엇입니까?
6. Windows 시스템에서 열려 있던 TCP 포트는 무엇입니까?

 

먼저 해시값을 비교해서 증거 파일이 손상되지 않았는지 확인한다!

 

 

1. X씨 스캐너의 IP 주소는 무엇이었나요?

패킷을 살펴보면

1. 10.42.42.253이 10.42.42.50 에게 연결을 요청한다. (SYN)

2. 10.42.42.50이 10.42.42.253에게 연결 종료 및 응답 패킷을 보낸다. (RST, ACK) - 닫힌 포트

3,4. 10.42.42.253이 10.42.42.56 / 10.42.42.25 에게 연결을 요청한다. (SYN)

5,6. 10.42.42.56 / 10.42.42.25 가 10.42.42.253에게 연결 종료 및 응답 패킷을 보낸다. (RST, ACK) - 닫힌 포트

7,8. 10.42.42.253이 10.42.42.50 / 10.42.42.56 에게 연결을 요청한다. (SYN)

...

이런식으로 10.42.42.253이 전체적으로 무의미한? 연결 요청을 계속해서 보내고, destination에선 비정상적인 패킷으로 감지 후 연결을 종료(RST)하려는 상황으로 보인다.

 

상황을 미루어 볼 때 X씨의 스캐너 IP 주소가 10.42.42.253 임을 유추할 수 있다.

 

2. X 씨가 처음으로 실시한 포트 스캔의 경우 어떤 유형의 포트 스캔이었나요? (참고: 스캔은 수천 개의 패킷으로 구성되어 있습니다.) 하나를 선택하세요:
- TCP SYN
- TCP ACK
- UDP
- TCP Connect
- TCP XMAS
- TCP RST

 

먼저 포트 스캔(Port Scan)이란?

네트워크에 연결된 컴퓨터의 열려 있는 포트(서비스)를 탐색하는 기술이다. 

보안 취약점을 찾거나 시스템에서 실행 중인 서비스를 식별하기 위해 사용되며 공격자는 이를 통해 침입 경로를 찾으려 하고, 보안 전문가는 잠재적인 위협을 확인하고 대비하기 위해 이 기술을 활용한다.

 

이 문제 역시 감으로 답을 유추할 순 있었지만, 정확한 개념 이해 없이 느낌으로 푼 거 같은 기분이 찝찝하여 정답을 유추할 수 있는 개념을 다시 찾아보았다.

 

X씨의 스캐너가 계속해서 TCP 연결을 시도했기(3-way handshake)때문에 답은 TCP Connect 라고 생각할 수 있다.

 

-> 이 문제의 자세한 설명은 다른 포스트로 따로 내용을 다루면서 전체적인 포트스캐닝의 개념을 정리할 예정이다.

 

 

3. X 씨가 발견한 대상의 IP 주소는 무엇입니까?

 

통계 -> 대화 -> IPv4 탭으로 들어가면 IP주소별 패킷 송수신 정보를 확인할 수 있다.

X씨 (10.42.42.253)이 발견한 IP 주소는 10.42.42.56 , 10.42.42.50 , 10.42.42.25 총 3개로 확인 된다.

 

4. 그가 찾은 Apple 시스템의 MAC 주소는 무엇입니까?

-> packet 01) 10.42.42.50 : CompalInform (MAC: 70:5a:b6:51:d7:b2)

 

-> packet 03) 10.42.42.56 : CompalInform (MAC: 00:26:22:cb:1e:79)

 

-> packet 04) 10.42.42.25 : Apple (MAC: 00:16:cb:92:6e:dc)

 

5. 그가 찾은 Windows 시스템의 IP 주소는 무엇입니까?

 

X 씨가 찾은 3개의 IP 중 10.42.42.25는 Apple 시스템인 것으로 확인했으니 남은 두 IP인 10.42.42.56과 10.42.42.50의 정보를 찾아봐야 한다.

이 문제는 아직 내 지식이 부족해 접근법을 모르겠어서 정보를 좀 찾아 본 결과

윈도우 시스템에선 기본적으로 열려있는 포트를 139번, 135번 포트를 사용한다고 한다. 들어본 거 같으나 문제 풀땐 기억이 나지 않던....

 

도착지(destination)을 10.42.42.50으로 맞추고 열린 포트(ACK)를 확인한 결과 해당 IP의 139번 포트가 열려있음을 확인했고 이를 통해 10.42.42.50이 Windows 시스템을 사용한다는 것을 알 수 있었다.

 

6. Windows 시스템에서 열려 있던 TCP 포트는 무엇입니까?

 

135번, 139번 포트가 열려있음을 확인했다.

 

1. X 씨 스캐너의 IP 주소는 무엇이었나요?
10.42.42.253
2. X 씨가 처음으로 실시한 포트 스캔의 경우 어떤 유형의 포트 스캔이었나요? (참고: 스캔은 수천 개의 패킷으로 구성되어 있습니다.) 하나를 선택하세요:
TCP SYN
TCP ACK
UDP
TCP Connect
TCP XMAS
TCP RST
3. X 씨가 발견한 대상의 IP 주소는 무엇입니까?
10.42.42.56 , 10.42.42.50 , 10.42.42.25
4. 그가 찾은 Apple 시스템의 MAC 주소는 무엇입니까?
00:16:cb:92:6e:dc
5. 그가 찾은 Windows 시스템의 IP 주소는 무엇입니까?
10.42.42.50
6. Windows 시스템에서 열려 있던 TCP 포트는 무엇입니까?
135번, 139번