DEFCON 2013 Network Forensics Puzzle Contest: Phone Home
Mrs. Jensen decides to look further into this strange email. She decides to check her account balances to ensure she still has access to her accounts.
Use the Round 7 packet capture in this folder to answer the following question:
1. What is the URL of the false(Malicious) web page Victoria is directed to?
1. Victoria가 가리키는 거짓 (악성) 웹 페이지의 URL은 무엇입니까?
Wireshark를 켜준 뒤 round7을 분석해줍니다.
웹페이지에 관한 질문(문제)이므로 http만 따로 분석해볼 수 있는 [File -> Export Objects -> HTTP... ] 버튼을 눌러서 http object만 볼 수 있도록 해줍니다.
누르면 HTTP object list가 출력될텐데, defcon round7의 문제는 은행 관련 문제이므로 'bank'를 검색합니다.
[검색창에 'bank'입력]
bank 검색 결과 유의미한 부분들이 많이 보입니다. 호스트네임, 검색 링크 등등
호스트 네임중 눈에 띄는 부분을 발견할 수 있습니다.
bankofamerica.tt.omtrdc.net을 클릭하면 해당 패킷번호가 있는 라인으로 이동하게 됩니다.
[4690 패킷 클릭]
[해당 패킷 우클릭 -> Follow -> TCP Stream or HTTP Stream]
URL 뒤로 암호화된 링크를 확인할 수 있습니다. 이를 디코딩할 것입니다.
해당 부분을 드래그한 뒤 Ctrl+C 를 불러 복사해줍니다. 그리고 아래 링크에 들어가줍니다.
Url을 decode 및 encode해주는 사이트입니다.
[URL 뒤 드래그 -> Ctrl+C(복사) -> url decoding사이트 접속]
https://meyerweb.com/eric/tools/dencoder/
URL Decoder/Encoder
meyerweb.com
드래그한 url을 붙여넣은 뒤 decode로 해독해줍니다.
[Ctrl+V -> Decode버튼 클릭]
그러면 http://promo.bankofamerica.com/ 사이트를 참조하고 있는 것을 알 수 있습니다. 이 사이트는 피싱사이트로, 정식 사이트가 아닌 악성 사이트입니다.
따라서 Victoria가 가리키는 거짓 (악성) 웹 페이지의 URL은 무엇입니까?의 질문에 대한 정답은
http://promo.bankofamerica.com/ 임을 알 수 있습니다.
'Hacking&Security > forensics(포렌식)' 카테고리의 다른 글
| [포렌식] 안티포렌식-Steg.pdf (0) | 2021.11.22 |
|---|---|
| [포렌식] Defcon Round8 (0) | 2021.11.22 |
| [포렌식] Defcon round6 (0) | 2021.11.16 |
| [포렌식]Defcon round 5 (0) | 2021.11.16 |
| [포렌식] Defcon round4 (0) | 2021.11.15 |
