정보 공유
-
유명 믹싱 서비스 Samourai Wallet 법 집행기관에 의해 압수 후 폐쇄
Samourai Wallet, Samourai Whirlpool로 잘 알려져 있는 암호화폐 서비스가 있습니다.그런데 2024년 4월 24일, 법 집행 기관에 의해 창립자가 체포당하고, 서비스가 폐쇄되었습니다.Whirlpool은 코인조인 기능을 지원해 기존에 범죄자들이 자금세탁수단으로 많이 이용했던 서비스이기도 합니다.Whirlpool이 이렇게 된 것을 보면, Wasabi Wallet이 다음 타겟이 될 수도 있을 것 같네요. https://www.justice.gov/usao-sdny/pr/founders-and-ceo-cryptocurrency-mixing-service-arrested-and-charged-money-laundering?utm_campaign=Newsletters&utm_medium=e..
-
Bitcoin Fog Case, Daubert 논쟁에서 Chainalysis의 승리
https://www.chainalysis.com/blog/bitcoin-fog-daubert-hearing-chainalysis/?mkt_tok=NTAzLUZBUC0wNzQAAAGSbdxRsF5H0UseFSLBFD7nifCeDI0UoOQSUGzDffqDuSsAKY3TbilE2fXEJjjLALl8Bv_LdzA6IiW_wSRDEo_2kq7Q5HK4VQB4acE6LD2sWa0o Bitcoin Fog Case Confirms Chainalysis Analytics is Reliable and Admissible in Court - Chainalysis Last month, a Washington, D.C. jury decided that Roman Sterlingov was indeed the individu..
-
스마트 컨트랙트 해킹에 대한 최초의 유죄 판결
2022년 7월, AHMED는 두 개의 별도 분산형 암호화폐 거래소(여기서는 "암호화폐 거래소" 및 Nirvana Finance("Nirvana")라고 함)에서 해킹을 실행했습니다. 2023년 7월 AHMED는 암호화폐 거래소 해킹 혐의로 공개 기소되었습니다. 오늘의 유죄 인정은 AHMED가 2022년 7월 Nirvana에서 실행한 두 번째 정교하고 수백만 달러 규모의 해킹에 대한 책임을 인정하는 최초의 공개 서류입니다. 최근 블록체인 공격자들은 공격이 성공하고 나서 법적 조치를 취하지 않는 대신 자금의 상당분을 반환하겠다는 합의를 통해 일부 금액만 챙기고 피해 자금을 반환하는 경우가 많음. 이번 사례에서는 AHMED가 2회의 공격을 했는데 첫 번째 공격에서는 합의 후 자금을 반환했지만 두 번째 공격에서..
최신 글
-
다양한 텔레그램 메시지 수집 방법
텔레그램 메시지 수집 최근 모바일 기기 데이터를 수집할 때 텔레그램 데이터를 획득하지 못 하는 경우가 많아지고 있습니다. 최신 모델 휴대폰일 수록 풀 파일 시스템 이미징이 지원되지 않기 때문입니다. 사용자가 텔레그램 메신저를 사용할 경우, 풀 파일 시스템 이미징을 하지 않으면 메시지 내역을 획득하지 못 하는 경우가 많습니다. 이러한 경우 다른 방안이 필요한데, 네 가지 방법에 대해 알아보겠습니다. 1. 대화방 촬영을 통한 메시지 수집 비효율적이고 불편한 방법입니다. 말 그대로 사용자 단말기에서 텔레그램 어플을 열고, 채팅방을 띄운 뒤 스크롤하면서 일일이 카메라로 촬영하는 방식입니다. 사용자의 추가 협조를 기대하기 어려운 경우 눈물을 머금고 사용해야 하는 방법입니다. 2. PC 텔레그램 프로그램을 통한 메..
-
Atola Taskforce E01 이미지 생성 과정
How to create E01 image with Atola Taskforce 디지털포렌식 하드웨어 장비인 Atola Taskforce를 사용하여 하드디스크에 E01 이미지를 생성하는 방법에 대해 다뤄보겠습니다. (Disk to File) 실습에 사용될 하드웨어 장비입니다. 장비의 좌측을 보면 디스크를 연결할 수 있는 포트들이 있습니다. SAS 포트 6개, SATA 포트 6개가 있으며 각 포트 별로 우측의 빨간색 스위치를 통해 Source 혹은 Target 으로 변경을 할 수 있습니다. SOURCE 초록색 전구?에 불이 들어오면 해당 포트가 Source로 사용되고 있다는 의미이며 불이 꺼져 있으면 Target으로 사용되고 있다는 의미입니다. 저는 위와 같이 SATA1번을 Source 로, SATA2번을..
디지털 포렌식 프로그램
-
HANCOM MD - (2) MD-RED 사용하여 모바일 이미지 분석하기
이번 글에서는 지난 번 MD-NEXT 프로그램으로 이미징한 결과를 대상으로 MD-RED 프로그램을 사용하여 프로세싱하는 과정에 대해 작성해보겠습니다. 1. MD-RED 첫 실행 MD-RED 를 실행하면 위와 같은 화면을 볼 수 있습니다. 좌측에 메뉴 사이드 바가 존재하는 구조를 가지고 있습니다. 2. 케이스 생성 좌측 상단에서 새 사건을 통해 분석 케이스를 생성할 수 있습니다. 국내 제품답게 케이스를 사건이라고 번역했나 봅니다. 이미지 추가하기 버튼을 누르고 MD-NEXT 로 이미징한 결과 파일을 선택해줍니다. 3. 이미지 프로세싱 이미지를 업로드하면 이미지 파일의 구조를 확인할 수 있습니다. 좌측 메뉴의 3번째 버튼을 누르면 분석 창을 띄울 수 있습니다. 해당 창에서 분석 대상 어플과 파일 대상을 선택..
-
HANCOM MD - (1) MD-NEXT 사용하여 모바일 기기 이미징하기
한컴 사의 모바일 포렌식 제품으로 유명한 MD-NEXT를 사용하여 모바일 기기 이미징을 수행하는 과정에 대해 알아보겠습니다. MD-NEXT는 상용 프로그램으로 동글 키가 있어야 실행이 가능합니다. 1. MD-NEXT 첫 실행 MD-NEXT를 첫 실행하면 위와 같은 화면을 볼 수 있습니다. 언어, 출력할 해시 방식, 저장 경로 및 이미징 과정에서 생성되는 펌웨어 저장 경로를 설정해야 합니다. 추가로 케이스 저장 경로, 생성 될 보고서 저장 경로 등을 설정해 줍니다. MD-NEXT의 메인 화면은 위와 같습니다. MD-NEXT가 지원하는 제조사들이 나열되어 있는 모습을 볼 수 있습니다. SAMSUNG 제조사를 선택한 모습입니다. 꽤 옛날 제품들까지 이미징을 지원하는 것을 알 수 있습니다. 2. 모바일 기기 모..
-
KAPE (Kroll Artifact Parser And Extractor) - (5) mkape 구조의 이해와 활용
※ 본 포스팅은 PLAINBIT의 KAPE 문서, KAPE 공식 문서를 참고하여 작성하였습니다. tkape 구조의 이해와 활용에 이어서 이번에는 mkape의 구조에 대해 알아보고 커스터마이징을 하는 방법에 대해 포스팅해보겠습니다. 10. .mkape KAPE 설치 경로 폴더에서 Modules 폴더의 내부를 보면 위와 같은 폴더와 파일들이 있는 것을 확인할 수 있습니다. Module의 항목 별로 폴더가 구성되어 있으며 폴더에 진입하면 .mkape 파일들을 확인할 수 있습니다. bin 폴더에는 모듈에 사용될 실행 프로그램들이 저장되어 있습니다. 모듈은 특정 유형의 파일을 찾는다는 점에서 Target과 유사한 방식으로 작동하지만, 다른 곳에 복사하는 것은 아닙니다. 모듈의 작업은 Target에 의해 복사된 폴..
CTF 풀이 및 제작
-
2022 BelkaCTF#5 WriteUp - Part2 (Party Girl MISSING)
2-6. Not final (700) I was very proud of myself, but this time I did not call the Chief. Yes, I was able to decrypt the chat, and it seemed I have the key to the puzzle in my hands. But at the same time, it appeared to be much more complicated than I thought. I expected the location, but what is that? Is this the name of some software? Jame이 보낸 초대장을 통해 소프트웨어를 찾는 문제입니다. C:\Users\maria\AppData\Loc..
-
2022 BelkaCTF#5 WriteUp - Part1 (Party Girl MISSING)
2022 BelkaCTF#5 Party Girl MISSING 2022년 7월 29일 20:00 시 (UTC+9) 부터 24시간 동안 개최되었던 BelkaSoft 사의 5번째 CTF인 Party Girl Missing 문제 풀이를 작성해보겠습니다. https://belkasoft.com/ctf_july_2022/ 1. 케이스 도입부 시나리오 It was another record breaking day of heat in the city. The sun seemed to effortlessly squeeze the sweat from my brow as I made the short walk from the street into our building. My mind couldn't help but wa..
-
2022 BelkaCTF#4 WriteUp - Part 2 (Kidnapper Case)
2022 BelkaCTF#4 Kidnapper Case 2022 BelkaCTF 4번 문제에 이어 5번 문제부터 마지막 문제까지 이어서 풀이를 작성해보겠습니다. https://belkasoft.extremeroot.com/challenges 2. 문제 풀이 2-5. Cryptlet (750) —They called me again. Twice, — It looked like the Chief was angry at me because of that. —Are you saying I work too slow? Or should I take these calls on your behalf? The Chief missed my words, he seemed to be looking for his cigaret..
-
2022 BelkaCTF#4 WriteUp - Part 1 (Kidnapper Case)
2022 BelkaCTF#4 Kidnapper Case 2022년 3월 11일부터 24시간 동안 Belkasoft 사에서 주최한 BelkaCTF 문제 풀이를 해보겠습니다. Case File : BelkaCTF_Kidnapper_Case.E01 https://belkasoft.extremeroot.com/challenges 1. 케이스 도입부 시나리오 —Have you heard the news? I have. —The CID has interrogated the father. Other than the ransom amount, there was nothing interesting. I heard this as well. —This Mr. Alex is a big shot… Do you know who ..
-
H4CKING GAME CTF(Digital Forensic-CODE 150)
CODE 문제입니다. 지문에서 Is it really a barcode? 라고 되어 있는 것을 보아 바코드 관련 문제인 것 같습니다. code.bmp 파일을 다운로드할 수 있습니다. code.bmp 파일을 다운로드하고 열어보면 위와 같은 바코드 이미지를 확인할 수 있습니다. 일단은 바코드 이미지를 획득했기 때문에 onlinebarcodereader 사이트에서 해독을 시도했습니다. 바코드 해독 결과 값을 얻을 수 없다고 합니다. 지문에서 이것이 진짜 바코드인가? 라고 나와있듯이 해당 이미지는 바코드 이미지가 아닌 것으로 보입니다. 바코드 형태를 유심히 살펴보다가 아래에 있는 구분점에 주목을 했습니다. 위 그림에서 파란색 ^로 표시를 해둔 부분인데 간격이 일정한 것을 확인하고 몇 칸마다 구성이 되어있나 확인..
-
H4CKING GAME CTF(Digital Forensic-LineFeed 100)
LineFeed 문제입니다. 파일의 어딘가가 손상이 되었다는 것을 알 수 있습니다. linefeed.png 파일을 다운로드 할 수 있습니다. 다운로드 받은 파일을 열어보면 위와 같은 그림을 확인할 수 있습니다. 지문에서 파일이 손상되었다는 점, 문제 파일이 png 파일이라는 점을 통해 세로, 가로 값이 변경되었음을 의심했습니다. linefeed.png 파일의 가로 세로 값은 위 빨간색 네모 영역에 위치하고 있습니다. width : 0x1F0 (496) height : 0x1A0 (416) height 값을 100 높혀서 0x204 로 지정해봤습니다. height 값을 100증가시켜주니 아래에 짤렸던 부분이 드러났습니다. width 값을 3 증가시켜서 0x1F3 으로 지정했습니다. 가로 값을 수정하니 플래..