당신은 최근 한 랜섬웨어 갱단 조직원의 보스로 의심되는 "ELMO"를 조사하기 위해 "K204" 라는 코드네임으로 정보 수집 작전에 투입되었습니다. ELMO와 그의 조직원들은 K204가 그와 조직을 추적하고 있는지 모르는 상태입니다. 현재 K204는 여러 정보수집 기술을 통해 ELMO의 소재지와 조직원의 근거지, 다음 그들의 타겟 플랜등을 파악해야합니다.
현재 K204가 가지고 있는 정보는 다음과 같습니다:
그루트 조직원은 새로운 램섬웨어 바이러스인 toorgvirus 랜섬웨어를 유포중이며 파일을 암호화 한뒤 아래와 같은 Ransomware Note를 남겼습니다. K204는 toorgvirus 랜섬웨어 피해자들을 통해 Ransom Note를 입수하였습니다.
랜섬노트는 아래와 같습니다:
문제들을 통해 아래와 같이 학습을 할 수 있습니다.
* Google 도킹 * Search Engine에 대한 이해 *웹사이트 보관 *소셜 미디어 조사/열거/분석 *비판적 사고
문제
4. 소셜 미디어 수집(SOCMINT)
- ELMO의 개인 트위터 계정을 찾으세요.
- 네번째 플래그는 무엇일까요?
- ELMO가 4월 2일날 있었던 도시는 어디일까요?
- ELMO의 개인 인스타그램 계정을 찾으세요.
- ELMO의 개의 이름은 무엇일까요?
- ELMO 조직의 팀 Github 계정을 찾으세요.
- Github의 삭제된 파일의 이름은 무엇일까요?
- 삭제된 파일을 다시 복구시키세요. 다섯번째 플래그는 무엇일까요?
- 팀 Github 계정에 있는 zip 파일을 다운로드 받으세요. 여섯번째 플래그는 무엇일까요?
- 팀 Github에 기여하고 있는 유저는 현재 어느 시간대 (UTC)에 위치해 있을까요?
실습
1. ELMO의 개인 트위터 계정을 찾으세요.
해당 계정을 찾기 위해 'Sherlock(셜록)'이라는 도구를 사용한다.
대학시절 과제로 냈던 기억이 나는 도구로 반가웠다.
검색결과 twitter 계정이 보이고 문제와 같이 해당 트위터의 계정에 접근해보자.
2. 네번째 플래그는 무엇일까요?
→ GOSINT{EINUW@#$110}
접근해 보면 아래와 같이 트위터 계정에 네번째 플래그를 얻을 수 있다.
3. ELMO가 4월 2일날 있었던 도시는 어디일까요?
→ Noboribetsu
트위터를 살펴보면 아래와 같이 어떤곳의 사진이 나와있는데, 장소를 알 수 없다.
이때 이미지를 저장하고 사용해볼 수 있는 기법이 image reverse search이다.
사진을 가지고 다른 웹사이트에 올라와 있는 연관검색어를 찾아 볼 수 있다.
해당 영상에서는 yandex라는 사이트를 사용했다.
5. ELMO의 개인 인스타그램 계정을 찾으세요.
6. ELMO의 개의 이름은 무엇일까요?
→ Bullseye
영상에서 보면 sherlock 사용시 인스타 그램 계정을 볼 수 있었는데, 현재 계정이 사라진건지 삭제된건지 접근이 불가하여 아래 사진은 영상에서 캡쳐하여 가져왔습니다.
아래 사진과 같이 toorgvirus인스타 계정에서 여러 피드를 볼 수 있는데 그중 ELMO의 강아지 이름을 얻을 수 있었습니다.
7. ELMO 조직의 팀 Github 계정을 찾으세요.
기존 첫번째 시간에서 텔레그램 접근 화면을 보면 "Team ToorG"라는 것을 얻을 수 있었고, 이를 바탕으로 셜록을 이용하여 검색해보면 아래와 같이 Github 계정을 찾아 볼 수 있습니다.
8. Github의 삭제된 파일의 이름은 무엇일까요?
→flag.txt
Github에 접속하면 Repositories에 dev라고 올라와 있는 것을 확인해 볼 수 있고, 우리는 삭제된 파일의 이름을 찾아야 하기 때문에, Commits를 살펴보자
그러면 removing file로 삭제된 파일이 flag.txt라는 것을 알 수 있다.
9. 삭제된 파일을 다시 복구시키세요. 다섯번째 플래그는 무엇일까요?
→GOSINT{Gi+GEGXO}
해당 깃허브에서 살펴보면 플래그를 볼 수 있지만, 배우는 입장 + 삭제된 파일을 복구 해봐야 하기 때문에 영상을 참고하였습니다.
git log 명령을 통해서 Commits의 해시 값을 볼 수 있고, 파일이 삭제되기 전의로 돌아가면 flag.txt를 볼 수 있다.
파일 복구 명령어로는 git checkout "해시값"을 통해 복구 할 수 있었다.
10. 팀 Github 계정에 있는 zip 파일을 다운로드 받으세요. 여섯번째 플래그는 무엇일까요?
→ GOSINT{XUE83@MCE#$D}
사진과 같이 일반적으로 unzip명령어를 통해 압축풀기를 시도하면 암호화 되어 안되는 경우가 있다.
그럴때는 7z을 이용하여 풀 수 있는데, 이때 암호가 필요한데 instagram에 올라온 피드를 통해 힌트가 있었다.
해당 암호를 풀어 엑셀 파일을 열어보면 아래와 같이 마지막 플래그를 얻을 수 있다.
11. 팀 Github에 기여하고 있는 유저는 현재 어느 시간대 (UTC)에 위치해 있을까요?
→UTC-4
git log를 통해 확인해 본 것처럼 -0400을 볼 수 있는데, 이게 UTC-4라고 보면 된다고 한다.