문제) Betty는 Gregory와 함께 만남으로써 그녀의 행적을 감추려고 한다.
Round 2 패킷을 사용해서 다음의 질문에 답하시오.
그들은 어느 도시에서 만납니까?
문제와 함께 round2.pcap을 제공한다.
우선 NetworkMiner 툴로 확인해보았다.
살펴보던 중, Betty와 Gregory가 나눈 이메일 메세지를 확인할 수 있었다.
확인해보면 어디서 만나는지 확인하기 위해 패스워드(S3cr3tVV34p0n)이 필요한것으로 보인다.
계속 메세지를 살펴보다가 이런 메세지를 확인할 수 있었다.
DCC SEND r3nd3zv0us 2887582001 1024 819200
IRC의 하위 프로토콜(DCC)로 Data를 교환한 것으로 보인다.
IRC란? 인터넷 릴레이 챗(Internet Relay Chat)은 실시간 채팅 프로토콜이다.
채널이라 불리는 토론 포럼에서 그룹 대화를 하기 위해 설계되었으나
개인 메시지를 통한 1:1 소통, 그리고 파일 공유를 포함한 채팅 및 대화 전송도 가능하다.
DCC로 주고받은 파일을 찾기위해 와이어샤크를 사용했다.
앞서 NetworkMiner에서 확인한 파일크기(819200), 포트번호(1024)가 동일한 파일을 찾을 수 있었다.
해당 파일을 Raw Data로 확인해보자.
이 Raw Data를 Hex Code로 변환시켜 파일로 만들어 주었다.
다만, 앞서 나눈 이메일을 확인해보았을때 이 파일은 암호화가 되어있어 확인이 불가능하다.
이메일을 확인하는 과정에서 발견한 패스워드(S3cr3tVV34p0n)로 복호화를 해주기 위해
많이들 사용하는 VeraCrypt를 이용했다.
복호화에 성공해 A:에 마운트해 주었다. 이제 A:에 접근해보자.
A: 내부에 있는 LV.jpg 파일을 확인해보면, Betty와 Gregory가 만나는 장소(FLAG)는
LAS VEGAS임을 확인할 수 있다.
