Dreamhack_Don't Do(S) That!(forensic)

문제 설명

드림이가 실습실에서 인터넷 검색을 하고 있는데..! 아니 잠깐..?
갑자기 렉이 발생하기 시작했어요…! 왜 이러지..??
음.. 이런.. 실습실 안에 있는 누군가가.. 장난을 치는 것 같네요..!
평소 드림핵을 통해 정보보안을 공부한 드림이는 범인을 찾고자 하는데…
과연… 드림이는 범인을 잡아낼 수 있을까요?

★ Flag는 공격자의 IP 주소를 base64 Encoding 한 값 입니다.
ex) 127.0.0.1 → bisc2024{MTI3LjAuMC4x}

 

 

파일을 다운받고 열어줌. 압축을 해제하니 wireshark capture file이 있음

 

wireshark앱을 실행해서 해당 파일을 던져줌 --> 이렇게 보이는데 

이제 렉을 유발하는 공격자의 IP를 찾아보ㅏ야할 것 같음

192.168.0.11이 142.250.76.132로 요청을 하고 다시 142.250.76.132가 응답을 하는 식의 형태를 보임

 

밑에 노란색이 좀 다른 것 같아서 보니까 누가 192.168.0.11인지 192.168.0.1한테 물어보고 있고, 192.168.0.11가 어디에 있는지 바로 알려주고 있음..흠...

ARP로 보이는 부분이 좀 수상해서 따로 필터링해서 ARP만 모아봤음

ARP가 뭔지 잘 기억이 안나서....(네트워크 시간에 배웠는데,....)

 

##ARP: IP 주소를 MAC 주소(물리적 주소)로 변환하는 프로토콜

ARP 스푸핑 공격(ARP Spoofing): 동일 네트워크 내에서 공격자가 위조된 ARP 메시지를 보내 피해자의 IP 주소를 자신의 MAC 주소와 매핑시켜 트래픽을 가로채거나 변조하는 중간자 공격(MitM) 기법

너가 더 수상해짐

15, 16번 패킷을 기준으로 살펴보면, EFMNetworks_bc:98:47 --> VMware_a8:62:1b로 이어짐

192.168.0.1 -->  192.168.0.11이 누구냐고 물어보고 있음

즉, 192.168.0.1은 bc:98:47 라고 할 수 있음

 

5273, 5274패킷)

VMware_cf:03:76 --> EFMNetworks _bc:98:47 로 이어짐

192.168.0.22 --> 192.168.0.1이 누구냐고 물어봄

즉, 192.168.0.22가 cf:03:76

압도적으로 192.168.0.11을 물어보는 패킷이 많음..

근데 너무 어렵다,,,,,흠

 

 

 

밑으로 좀 더 내려가보니 192.168.0.11과 새롭게 보이는 142.250.206.206이 통신하는 모습이 보임. 얘는 또 누구니...

뭔가 192.168.0.11이 드림이 IP인 것 같음(추측)

142.250.206.206 이 IP가 너무 많아서 뭔가 수상한데,,,, 구글 IP였음;;;;

이렇게 되면!!!!

192.168.0.11이 드림이 IP인 것 같음(확정)

142.150.206.206은 구글 IP(확정)

 

 

도대체 왜이렇게 찜찜할까....

일단 다시, 아까 의심되었던 192.168.0.22를 좀 더 파봐야할 것 같음 

필터링을 이용해서 확인을 해보니 훨씬 더 이상해짐

아까도 192.168.0.22가 계속해서 arp를 물어보더니 이번에는 ICMP 폭탄을 보내고 있음

ICMP (Ping) 폭탄 (패킷 16537~16582

- Source: 192.168.0.22 → Destination: 192.168.0.11

- 내용: Echo (ping) request가 짧은 시간 동안 쏟아짐

- 해석: 옆에 (no response found!)라고 뜨는 것은 드림이의 컴퓨터가 이 요청을 처리하느라 바쁘거나, 공격 패킷이 너무 많아 제대로 응답하지 못하고 있음을 보임 --> 이게 바로 드림이가 느낀 렉의 원인일수도

 

짠짠짠