Second Job Interview

Statement

After passing the first interview with flying colors you’re now called in again.You’ve got to analyze a new file.
일단 파일 상단에 image.dd 가 써있다. 아마 이미지 형식인거 같은데 앞에 붙는 헤더는 뭘까
일단 지워서 새로 덤프를 만들어봅시다
익숙한 모양새다. → TrueCrypt 나 Bitlocker 를 분석해봤다면 많이 봤을 법한 앞부분이다.
마운트 시도해보면 암호화 볼륨으로 인식할 것이다. 그럼 뭐 복호화 키라던가 Recovery Key같은게 있어야 접근이 될텐데 미할당 영역을 찾아보면 될 거같다.
역시나 있다
뭐 그럼 마운트를 시도해 봅시다
arsenalImage Mounter 를 사용한다. 전에 FTK 로 해봤는데 잘 인식을 못하더라. 암튼 그런 이유로 저 툴을 사용한다
인식 한다. 안에 플래그 값이 바로 있길 바래본다. 비슷한 문제를 낸적이 있어서 사실 여기 안에 없으면 놓을곳이 없다.
Arsenal Image Mounter 에서 제공하는 Bitlocker 관련 기능을 써볼까 싶기도 하다
→ 확인해 보니까 암호를 쳐야 하는 기능이다.
키값을 찾는게 빠를거같다.
BitLocker Recovery Key A03C7675-AFCD-4981-8216-F2033E5938CB.txt 이런 파일이 있는거 같은데 키 ID를 일부만 확인할 수 있기 때문에 정확하게 확인할 수 없다. CMD 를 이용해서 정확하게 확인해볼 수 있다.
찾다보니 flag.png.lnk 도 찾아볼 수 있다. 사진의 형태로 존재하나 보다. txt 파일도 있다. 일단 열긴 해야할듯 하다
아근데 파일 링크에 대한 정보는 있는데, 파일 내용이 없다 이걸 어떻게 찾아야 하나 싶다.
정확한 이미지 구성 파악을 위해서 binwalk 를 돌려봤다.
이런식으로 메모리 덤프가 숨어있었다.
다른 프로그램들로는 안보이더만,,,,,좀 짜증난다ㅎㅎ
그럼 먼저 압축파일부터 보자 → 안에 똑같은 파일이 들어있는 거 같다.
메모리 분석을 해야하는데 volatility 를 이용해서 해봅시다
이거를 bitlocker 플러그인을 이용해서 보면 다음과 같다
bitlocker
elceef
저 두 정보가 크리덴셜 정보인거 같다. 그대로 마운트를 시도를 해보면
NTFS 이미지가 나오는데, 이를 그대로 덤프해서 윈도우 환경에서 보았다.
Flag를 확인할 수 있다.
FVEK랑 TWEAK 으로 어떻게 복호화하는지를 좀 알아봐야겠다