rdp packet analysis 삽질기 - basic level 1

본격�� RDP�� Packet�� Analysis�� 삽질기

bunseokbot@bob�� E-mail�� :�� [email protected]�� Website�� :�� blog.smishing.kr

Level�� 1�� -�� Basic�� understand�� of�� RDP�� Packet

mailto:[email protected]

http://blog.smishing.kr

문제

피해자가 어느날 컴퓨터에 로그인을 하니 워드패드 실행 중이었고, “당신의 D드라이브를 암호화 하였다, 다음 계좌 xxx-xxxx-xxxx로 100만원을 입금하고, 010-xxxx-xxx로 문자를 보낸뒤, 아래 지도에 가보면 비밀번호가 있을것이다.” 라고 기재되어 있었다. 이걸 보고 너무 놀란 피해자는 그만 컴퓨터를 꺼버렸으나, 다시 컴퓨터를 켜보니 워드패드에 있던 내용은 하드디스크에 저장되어 있지 않았다. 다행히, 당시 네트워크 관리자가 외부에서의 원격접속을 감지하여 해당 패킷들을 저장해 두었다. !RC4에 사용되는 대칭키는 무엇인가? 원격에서 입력한 키보드 입력값 중 전화번호는 무엇인가? 클립보드로 전송된 내용 중 계좌번호는 무엇인가? 클립보드로 전송된 그림(지도)를 복원하라 암호화된 하드디스크내의 파일을 복원하라

오늘�� 설명할�� 부분은�� RC4에�� 사용되는�� 대칭키�� 기본

트래픽잼

뭔�� 개소리

해설

Client�� ->�� Server�� 연결�� 요청해도�� 됨?�� !Server�� ->�� Client�� ㅇㅋ�� 키�� 드림�� !Client�� ->�� Server�� ㄱㅅ�� 특별히�� 너만�� 랜덤�� 키�� 드림�� !OK�� 서로�� 연결됨�� ㅇㅋㅇㅋ

예상대로?

올ㅋ

서버랜덤키잼

Random�� Key�� :�� 0C�� D7�� 35�� 28�� EF�� DC�� B5�� AA�� 73�� E1�� ED�� 3B�� 01�� DC�� 85�� B7�� D6�� F8�� 46�� 1E�� 83�� 7A�� 6F�� 4A�� CC�� D1�� FA�� F9�� 92�� 90�� E0�� 56

여기서�� 예상�� 하나�� 해봅시다

서버가�� 클라이언트에게�� 전송하는�� 데이터는�� !Server�� Random,�� Modulus,�� Exponents�� 이다.�� !여기서�� 서버�� 랜덤키는�� 찾았으니�� 이제�� Modulus와�� Exponents를�� 찾으면�� 된..

패킷이�� 없..다..

자..잠시만?

서버에서�� 랜덤키만�� 보내는게�� 아니라�� Modulus랑�� Exponents랑�� 같이�� 보내잖아?

넘긴�� 패킷도�� 다시보자

R..SA?

RSA1H가�� 수상하다http://msdn.microsoft.com/en-us/library/cc240919.aspx

오예�� 개꿀

�� 0000000B�� 03�� 00�� 01�� 4d�� 02�� f0�� 80�� 7f�� 66�� 82�� 01�� 41�� 0a�� 01�� 00�� 02�� ...M....�� f..A....�� 0000001B�� 01�� 00�� 30�� 1a�� 02�� 01�� 22�� 02�� 01�� 03�� 02�� 01�� 00�� 02�� 01�� 01�� ..0...".�� ........�� 0000002B�� 02�� 01�� 00�� 02�� 01�� 01�� 02�� 03�� 00�� ff�� f8�� 02�� 01�� 02�� 04�� 82�� ........�� ........�� 0000003B�� 01�� 1b�� 00�� 05�� 00�� 14�� 7c�� 00�� 01�� 2a�� 14�� 76�� 0a�� 01�� 01�� 00�� ......|.�� .*.v....�� 0000004B�� 01�� c0�� 00�� 4d�� 63�� 44�� 6e�� 81�� 04�� 01�� 0c�� 08�� 00�� 04�� 00�� 08�� ...McDn.�� ........�� 0000005B�� 00�� 03�� 0c�� 10�� 00�� eb�� 03�� 04�� 00�� ec�� 03�� ed�� 03�� ee�� 03�� ef�� ........�� ........�� 0000006B�� 03�� 02�� 0c�� ec�� 00�� 02�� 00�� 00�� 00�� 02�� 00�� 00�� 00�� 20�� 00�� 00�� ........�� .....�� ..�� 0000007B�� 00�� b8�� 00�� 00�� 00�� 0c�� d7�� 35�� 28�� ef�� dc�� b5�� aa�� 73�� e1�� ed�� .......5�� (....s..�� 0000008B�� 3b�� 01�� dc�� 85�� b7�� d6�� f8�� 46�� 1e�� 83�� 7a�� 6f�� 4a�� cc�� d1�� fa�� ;......F�� ..zoJ...�� 0000009B�� f9�� 92�� 90�� e0�� 56�� 01�� 00�� 00�� 00�� 01�� 00�� 00�� 00�� 01�� 00�� 00�� ....V...�� ........�� 000000AB�� 00�� 06�� 00�� 5c�� 00�� 52�� 53�� 41�� 31�� 48�� 00�� 00�� 00�� 00�� 02�� 00�� ...\.RSA�� 1H......�� 000000BB�� 00�� 3f�� 00�� 00�� 00�� 01�� 00�� 01�� 00�� b3�� 21�� fb�� e4�� 20�� 0a�� 09�� .?......�� ..!..�� ..�� 000000CB�� 7a�� 33�� a6�� 07�� 62�� 24�� 23�� a3�� 5b�� c1�� 9f�� 78�� 01�� f9�� 86�� f9�� z3..b$#.�� [..x....�� 000000DB�� cb�� 40�� 9d�� 92�� ec�� d5�� 60�� 73�� 75�� 9f�� 7f�� 26�� ce�� 11�� 14�� 5b�� .@....`s�� u..&...[�� 000000EB�� e6�� f8�� b5�� f2�� bd�� 19�� ca�� 57�� c4�� 9a�� 2b�� 22�� 23�� ba�� b0�� a4�� .......W�� ..+"#...�� 000000FB�� b2�� 23�� 16�� 49�� 54�� c5�� 7e�� 92�� d4�� 00�� 00�� 00�� 00�� 00�� 00�� 00�� .#.IT.~.�� ........�� 0000010B�� 00�� 08�� 00�� 48�� 00�� 5b�� 44�� cc�� 56�� 81�� b5�� 08�� dd�� fb�� 46�� 60�� ...H.[D.�� V.....F`�� 0000011B�� 67�� a1�� bc�� a9�� 4f�� 4f�� f9�� 49�� cc�� c0�� 7a�� a3�� 58�� d3�� a3�� 0c�� g...OO.I�� ..z.X...�� 0000012B�� 5f�� 33�� ec�� e8�� 35�� 4a�� e0�� dc�� e5�� ff�� 36�� 14�� 14�� 17�� aa�� 0b�� _3..5J..�� ..6.....�� 0000013B�� 4d�� 9d�� 54�� 7b�� 61�� 19�� 83�� 0e�� 4b�� 7b�� d2�� e9�� 0d�� 42�� a3�� 6b�� M.T{a...�� K{...B.k�� 0000014B�� e0�� e1�� eb�� d9�� 50�� 00�� 00�� 00�� 00�� 00�� 00�� 00�� 00�� ....P...�� .....

구글이�� 구글구글해

http://msdn.microsoft.com/en-us/library/cc240919.aspx

분석분석

바로�� 우리가�� 찾던�� Modulus가�� 여기�� 있음!�� !B3�� 21�� FB�� E4�� 20�� 0A�� 09�� 7A�� 33�� A6�� 07�� 62�� 24�� 23�� A3�� 5B�� C1�� 9F�� 78�� 01�� F9�� 86�� F9�� CB�� 40�� 9D�� 92�� EC�� D5�� 60�� 73�� 75�� 9F�� 7F�� 26�� CE�� 11�� 14�� 5B�� E6�� F8�� B5�� F2�� BD�� 19�� CA�� 57�� C4�� 9A�� 2B�� 22�� 23�� BA�� B0�� A4�� B2�� 23�� 16�� 49�� 54�� C5�� 7E�� 92�� D4�� 00�� 00�� 00�� 00�� 00�� 00�� 00�� 00

52�� 53�� 41�� 31�� ==>�� Magic�� “RSA1”�� 48�� 00�� 00�� 00�� ==>�� Key�� Length�� 00�� 02�� 00�� 00�� ==>�� Bit�� Length�� 3F�� 00�� 00�� 00�� ==>�� Data�� Length�� 01�� 00�� 01�� 00�� ==>�� Public�� Exponents�� 오예

클라이언트�� 암호화랜덤키잼

Encrypted�� Client�� Random�� Key�� !8C�� 2F�� 71�� 93�� A2�� AB�� E6�� CE�� 93�� DE�� 3A�� D5�� 1E�� 9D�� 4C�� 95�� 92�� CB�� 62�� 0E�� B7�� AF�� F3�� 46�� 99�� 53�� C2�� E8�� 3F�� 25�� 2F�� 7D�� B6�� 8D�� 17�� D3�� AA�� D0�� 65�� B6�� 99�� CA�� 0D�� 06�� 55�� C8�� AE�� 60�� C7�� 11�� 2A�� BD�� B9�� 85�� 44�� 52�� 8F�� BE�� B2�� BC�� 16�� 73�� 53�� 01�� 00�� 00�� 00�� 00�� 00�� 00�� 00�� 00

복호화는�� 어떻게?

아�� 귀찮아..

근데�� 문제에�� 이미지�� 파일도�� 있네?

키�� 저장소�� 찾음�� 올ㅋhttp://msdn.microsoft.com/en-us/library/windows/desktop/bb204778(v=vs.85).aspx

http://msdn.microsoft.com/en-us/library/windows/desktop/bb204778(v=vs.85).aspx

저장소로�� 가봄

오예�� 내키�� 근데�� 겁나�� 짧다�� 흑

검색중..social.msdn.microsoft.com/Forums/vstudio/en-US/a52df4b9-a716-483e-a827-923�� 5f87400b0/please-help-explain-cryptorsa-files?forum=clr��

다시�� 저장소로�� 가봄

그래�� 이름이�� 키였다

이제까지�� 찾은건..?

Server�� Random�� !Modulus�� !Exponents�� !Encrypted�� Client�� Random�� !Public�� key,�� Private�� key�� (아마..?)

이제�� 우리도�� 대칭키를�� 찾을수�� 있어!

다음�� 편에서�� 계속..물론�� 언제가�� 될진�� 모름�� 최대한�� 빨리�� 하겠습니다

참고하면�� 좋은�� 사이트

http://wenku.baidu.com/view/de0b887f27284b73f2425020.html?from_page=view�� !바이두�� 아이디�� 있어야됨�� ㄷㄷ�� (사실�� 짱깨인에게�� 빌림)�� !http://forensicinsight.org/wp-content/uploads/ 2013/02/F-INSIGHT-Summary-of-RDP-replayer.pdf

Forensic�� Insight�� 잼�� (출제자가�� 한�� 풀이)�� -�� 영어�� 암걸림

http://wenku.baidu.com/view/de0b887f27284b73f2425020.html?from_page=view

http://forensicinsight.org/wp-content/uploads/2013/02/F-INSIGHT-Summary-of-RDP-replayer.pdf

rdp packet analysis 삽질기 - basic level 1

Technology