[xcz.kr #27] XCZ Company Hacking Incident - 150 points

xcz.kr의 27번째 문제는 XCZ Company Hacking Incident이다. 포렌식 문제고, 문제는 아래와 같다. 

회사 내부의 기밀문서를 외부로 유출한 증거를 하드디스크에서 찾아 키 값을 찾는 문제인 것 같다. 첨부된 파일은 Prob27.7z 파일이다. 이를 FTK Imager로 분석했다.

Recent 폴더

최근 사용된 파일이 있는지 보기 위해서 Recent 폴더를 봤다. confidential.doc.Ink가 기밀문서와 관련된 파일인가 추측을 할 수 있었다. 기밀문서로 보이는 이 파일을 어떠한 방식으로 유출했는지를 알아내기 위해 인터넷 history 파일이 있는지 찾아보려고 했으나 이에 대한 정보는 찾을 수 없었다. 

Outlook express 백업 파일

2021 여름에 서울여자대학교 SWING 분들과 WSCTF를 개최했을 때 내가 냈던 문제와 유사해 보였다. (다만 그 때는 history 파일도 힌트로 제공됐었음.) 따라서 이메일과 관련된 증거가 있을까 싶어서 찾아보던 중 다음과 같은 경로에서 Outlook express 백업 파일인 Outbox.dbx 파일을 찾을 수 있었다. 

출제했던 WSCTF 문제의 경우, Windows 10 환경에서 Microsoft Outlook 메일을 내보내기를 했기 때문에 .ost 파일 형식으로 데이터 파일이 생성되었다. 하지만 이 문제의 경우 오래되었다 보니 .dbx 파일이었고, 이를 열기 위해서는 Windows 7에 포함되었던 Windows Live 메일을 통해 열어야 했다. 

Windows 11 사용자인 나로서는 Windows Live 메일은 사용할 수 없으니, DBX file viewer로 검색을 해서 프로그램을 다운받았다. (프로그램: https://www.nucleustechnologies.com/dbx-viewer/)

Free DBX Viewer to View Outlook Express DBX Files

outbox.dbx를 연 결과

outbox.dbx 파일을 열어 확인해보니 처음의 Recent 폴더에서 기밀문서라고 생각했던 Confidential.doc 파일을 주고받은 것을 확인할 수 있었다. 툴 기능을 활용해 outbox.dbx 파일을 eml 파일로 추출했고 해당 eml 파일을 Outlook으로 열었다.

Confidential.doc 파일의 내용

해당 파일을 열어보면 위의 내용과 같은 텍스트가 써져 있다. 하지만 키 값은 보이지 않는다.

Confidential.doc text 추출

Confidential.doc의 텍스트를 Notepad에 추출하면 key 값을 얻을 수 있다. 아마 글씨를 안 보이게 흰색으로 써 놓은 것 같다. 따라서 해당 키 값을 인증하면 문제가 풀린다.