Puzzle #9: Ann’s Deception

[Round 1 : A Deal Is Made]

After Mr. X learns that Ann has been in contact with Inter0ptic, he begins to wonder about their relationship, and decides to monitor Ann's network traffic.
Use the packet capture in this folder to learn more about their conversation and answer the following question:

1. What is the name of the Company being attacked?

Remember:
You must answer the question in this round, in order to unlock the next round of the contest.

 

NetworkMiner 프로그램의 [Messages] 탭에서 확인하면 Factory-Made-Winning-Pharmaceuticals 이라는 것을 알 수 있습니다.

 

[Round 2 : Inception]

Ann, afraid that someone may be watching her, decides to capture all of her home traffic. She mentions her fear to Mr. X and explains that she has been capturing her home traffic for days and will be sending the packets out for analysis later in the day. She sends her captures to the one person she knows can trust. After their discussion, Mr. X rushes to his lab, to see if he can intercept Ann's outbound message and use her capture to get more detail on her upcoming activities..
Use the packet capture in this folder to answer the following question:

1. What is the date, as it appears in the capture, of the cryptographer's speaking engagement? (hint: It isn't at Defcon)

 

NetworkMiner 프로그램의 [Keywords] 기능에서 crypto(암호)를 검색하면 아래와 같이 cryptographers(암호학자)를 찾을 수 있습니다.

 

Frame number 4547를 와이어샤크에서 선택합니다.

 

TCP 스트림으로 cryptographer 검색해 봤지만 아무것도 확인할 수 없었습니다.

 

패킷을 위에서 부터 내려봤는데 TCP 스트림 35번에서 Help.pcap이 업로드된 것을 알 수 있습니다.

 

RAW(무편집) 형식을 선택한 다음에 전체를 복사합니다.

 

HxD 프로그램에 전체를 붙여넣습니다.

 

pcap 확장자의 파일 시그니처는 "D4 C3 B2 A1"이므로 해당 HeX 값을 검색하여 이전 값은 전부 삭제합니다.

 

마찬가지로 해당 첨부파일의 끝을 찾아 이후 HeX 값도 삭제합니다.

 

WireShark 프로그램을 열면 아래와 같이 오류를 확인할 수 있습니다. 

 

NetworkMiner 프로그램에서 열리는 것을 알 수 있습니다. [Files] 기능을 보면 schedule.html 파일을 확인할 수 있습니다.

 

해당 파일을 열어보면 October 6-7, 2011 확인할 수 있습니다.

 

[Round 3 : Ipad or Remedial Training?]

A mysterious call is made to Romulus (a new accounts manager) at Factory-Made-Winning.
Use the packet capture in this folder to learn more about the phone call and answer the following question:

1. What is Romulus' password?

 

패킷을 보면 UDP 프로토콜 패킷이 많은 것을 알 수 있습니다.

​

HTTP 프로토콜을 보면 /create_session 세션을 연결하는 것을 알 수 있습니다.

 

HTTP 스트림으로 확인하면 세션 관련된 정보를 확인할 수 있습니다.

 

19295 포트는 Google Voice에 사용되는 포트라는 것을 알 수 있습니다.

 

UDP 프로토콜을 인터넷 전화에 사용되는 RTP 프로토콜로 디코딩을 합니다.

 

UDP 프로토콜이 RTP 프로토콜로 변환된 것을 알 수 있습니다.

 

[Telephony] - [RTP] - [RTP Streams] 메뉴 기능을 이용하여 RTP 스트림을 보면 발신자(74,125,127,126 / 19295), 수신자(172.30.1.101 / 56213)이라는 것을 알 수 있습니다.

 

[RTP 재생기] 기능을 통해 대화의 내용을 들으면 ID는 "romulus.smw"로 들었고, PW는 "rom127#"인 것을 들을 수  있습니다. 

 

 

[Round 4 : The Heist]

Inter0ptic arrived to Factory-Made-Winning, and casually made his way past the front security desk. He then slipped into a secure access area by tailgating behind an employee. On the way in he found a sticky note with a password on it "useonce@". The password might come in handy later! With a grin and a chuckle, Inter0ptic found an empty cubical and plugged in his laptop.

Use the packet capture in this folder to learn more about Inter0ptic's adventure at the pharmaceutical company and answer the question below:

1. What is the 16th name inside the mysterious file transfered?

 

해당 패킷을 보면 SMB 프로토콜이 많이 보이는 것을 알 수 있습니다.

 

[File] - [Export Objects] - [SMB] 메뉴를 통해서도 해당 파일을 추출할 수 있습니다.

 

의심스러워 보이는 파일인 CCfiles.7z 파일을 확인할 수 있습니다.

 

이전 라운드에서 획득한 패스워드인 "rom127#" 입력을 시도했습니다.

 

압축 해제하면 CCfiles.xlsx 파일이 열리면서 50명의 이름과 신용카드 번호, CVC 번호(추측), 카드 회사 정보로 추측되는 정보를 확인할 수 있고, 16번째의 이름 Jason Wilson이라는 것을 알 수 있습니다.

 

 

[Round 5 : The Heist Part 2]

The network at Factory-Made-inning had been acting strange all day and Tim was getting very concerned what was happening at his company. He began looking over some traffic....
Use the packet capture in this folder to help Tim find out what's happening:

1) What is the 3rd ingredient on the list from the mysterious file that was transfered?

 

해당 패킷을 보면 SMB 프로토콜이 많이 보이는 것을 알 수 있습니다.

 

의심스러워 보이는 파일인 ingredients-list-133t-pi11.7z 파일을 확인할 수 있습니다.

 

Inter0ptic이 획득한 패스워드인 "useonce@"로 압축 해제를 시도했습니다.

 

압축 해제 하면 ingredients-list-133t-pi11.xlsx 파일을 열어보면 8.4 oz- Red Bull이라는 것을 알 수 있습니다.

 

 

[Round 6 : The Final Piece]

The last ingredient is stored away in Dr. Creedence Clearwater's private Truecrypt volume. On his hard drive there was a file titled "cipher". Perhaps it contains a clue that you can use to unlock the volume and help Inter0ptic find out the last ingredient.

1) What is the final ingredient?

 

truecrypt 프로그램을 다운로드한 [Select File]을 클릭하여 문제의 tc 파일을 선택합니다.

 

드라이브를 선택한 다음에  [Mount]을 클릭하면 비밀번호 입력창이 보여집니다.

 

링크를 클릭하면 cipher.txt 파일의 암호화되어 있는 숫자를 확인할 수 있습니다. 

 

다음 링크를 클릭하면 라운드별 제공되는 키 값을 확인할 수 있습니다.

 

암호화 키는 " 00gmu1rt#?" 해당 패스워드로 복호화를 진행하였습니다.

 

패스워드가 풀린 것을 알 수 있습니다.

 

해당 파일을 텍스트 에디터로 열어보면 편지의 내용을 알 수 있고 마지막 성분은 2oz Vodka.라는 것을 알 수 있습니다.