당신은 최근 한 랜섬웨어 갱단 조직원의 보스로 의심되는 "ELMO"를 조사하기 위해 "K204" 라는 코드네임으로 정보 수집 작전에 투입되었습니다. ELMO와 그의 조직원들은 K204가 그와 조직을 추적하고 있는지 모르는 상태입니다. 현재 K204는 여러 정보수집 기술을 통해 ELMO의 소재지와 조직원의 근거지, 다음 그들의 타겟 플랜등을 파악해야합니다.
현재 K204가 가지고 있는 정보는 다음과 같습니다:
그루트 조직원은 새로운 램섬웨어 바이러스인 toorgvirus 랜섬웨어를 유포중이며 파일을 암호화 한뒤 아래와 같은 Ransomware Note를 남겼습니다. K204는 toorgvirus 랜섬웨어 피해자들을 통해 Ransom Note를 입수하였습니다.
랜섬노트는 아래와 같습니다:
문제들을 통해 아래와 같이 학습을 할 수 있습니다.
* Google 도킹 * Search Engine에 대한 이해 *웹사이트 보관 *소셜 미디어 조사/열거/분석 *비판적 사고
문제
1. 정보수집(Passive OSINT)
- ELMO 조직의 이메일은 무엇입니까?
- 이 이메일이 만들어진 날짜 (Creation Date)는 언제일까요?
2. 공격자 추적(Active OSINT)
- ELMO 조직의 도메인은 무엇일까요?
- 도메인을 만든 사람의 이름은 무엇일까요?
- 첫번째 플래그는 무엇인가요?
- ELMO 조직의 비밀 텔레그램 채널 이름은 무엇일까요?
- 두번째 플래그는 무엇일까요?
- ELMO 조직의 다음 플랜을 알아내야 합니다. 다음 타켓 URL은 무엇일까요?
- 세번째 플래그는 무엇일까요?
실습
1.ELMO 조직의 이메일은 무엇입니까?
→ 본문의 랜섬노트를 보아 이메일은 'toorgvirus@proton.me'이라는 것을 알 수 있다.
2. 이 이메일이 만들어진 날짜 (Creation Date)는 언제일까요?
→ 2023-03-29
해당 문제를 풀이하기 위해서는 여러 방법이 있겠지만, 필자가 문제를 풀때에도 해설강의에도 아래의 github를 통해 알 수 있었다.
해당 툴을 설치하고 계정을 입력하게 되면, 언제 만들어졌는지 알 수 있는 정보를 얻을 수 있었다.
3.ELMO 조직의 도메인은 무엇일까요?
→grootosint.com
해당 사이트를 통해서 메일 계정을 통해 생성된 도메인에 대한 정보를 확인해 볼 수 있다.
해당 사이트 뿐 아니라 여러 사이트에서 확인해 볼 수 있으니 편한 사이트를 이용해 보면 될 것 같다.
실제 공격자들은 해당 도메인이나 정보등을 열어 놓지는 않는다고 한다.(예외 존재)
4.도메인을 만든 사람의 이름은 무엇일까요?
→Nick Yamamoto
도메인에 대한 정보를 얻었으니 기본적으로 칼리에서 제공하는 whois를 통해 도메인을 만든 사람의 이름에 대해 알 수 있었다.
5.첫번째 플래그는 무엇인가요?
→GOSINT{EIXO!J#$FE}
플래그를 얻기 위해 해당 도메인에 대한 구글 고급 검색을 통해 확인해본다.
구글 검색을 통해 아래와 같이 두가지 페이지에 대해 확인해 볼 수 있었다
문제의 hint에 대해 살펴보면 'disallow'를 볼 수 있는데 이는 robots.txt의 disallow를 확인해 보라는 것이라 추측
두 페이지 중 robots.txt 접근 가능한 페이지는 아래 페이지였다.
추가로 항상 국룰처럼 페이지에 접근하면 아무것도 보이지 않지만, 페이지 소스보기를 통해 첫번째 플래그 값을 확인해 볼 수 있었다.
6.ELMO 조직의 비밀 텔레그램 채널 이름은 무엇일까요?
→Team ToorG
첫번째 홈페이지에 접근하여 확인해보니 친절하게 텔레그램 가입 링크를 걸어 두었다.
클릭해보면 채널 이름에 대해 확인해 볼 수 있었다.
7.두번째 플래그는 무엇인가요?
→GOSINT{D!JI39XKKE}
두번째 플래그 또한 텔레그램 채널에 가입하니 해당 플래그를 얻을 수 있었다.
8. ELMO 조직의 다음 플랜을 알아내야 합니다. 다음 타켓 URL은 무엇일까요?
→security.grootboan.com
9. 세번째 플래그는 무엇인가요?
→GOSINT{F4KE_D0C5_HEHE}
해당 문제를 풀기 위한 hint를 확인해보니 'ELMO is a big fan of EXCEL'이라 나오는 것을 보아, 엑셀 타입의 파일을 찾으라는 것을 추측해 볼 수 있다.
실제로 엑셀타입의 파일을 확인 결과 아래와 같은 정보를 얻을 수 있었으며, wget을 통해 다운을 받아보자.
다운받은 후, 전시간에 배웠던 exiftool을 통하여 파일 정보를 확인해보니, 아래 세번째 플래그를 확인해 볼 수 있었다.
8번 문제를 풀기 위해서는 찾지 못하여 아래 해설 영상을 통해 참고 하였다.
OSINT같은 경우 정답이 없기 때문에 여러가지 시도(추측 등)를 통해 정보를 수집하는 것이 중요하다고한다.