09
DFIR/Challenge
2020-01-10 15:28:11
A회사 보안팀은 내부직원 PC의 자체보안감사 중 특정직원 PC에서 인터넷을 통해 내부문서를 외부로 업로드 한 흔적을 발견하였다. 보안팀은 보안 위반 흔적을 더 찾기 위해 직원 스마트폰도 임의 제출을 받아 추가 흔적을 조사하였다. 내부문서의 정보를 찾아 정답을 입력하시오.
KEY Format : Upload Date&Time(UTC+09:00)_Modified Date&Time(UTC+09:00)_FileName.Extention_Filesize(LogicalFileSize)
ex)2013/03/01&21:00:00_2013/04/03&10:00:50_sample.docx_100MB
사용도구 : Plist Editor Pro v2.5 / FTK Imager / DB Browser for SQLite v3.10.1, Dcode v4.02
evidence.001 이미지 파일을 FTK Imager로 분석
유출된 내부문서로 추정되는 PDF 파일 확인
해당 디렉터리의 Dropbox 앱의 cache.db 파일을 extract
extract한 cache.db 파일을 DB Browser for SQLite로 open -> Browse Data 탭에서 plist 관련 파일 내용을 확인
tim_folder key의 data부분을 더블클릭하면 Base64로 인코딩된 내용을 확인할 수 있음