Honeynet Forensic Challenges 2010

HoneyNet Logo
לפני כעשרה ימים, ב-18 לחודש, The Honeynet Project המוכר בעיקר בשל סדרת המאמרים-"Know Your Enemy
שחרר במסגרת ה-"Forensic Challenge 2010" שהוא מקיים מדי שנה את האתגר הראשון-"pcap attack trace".

לפי דברי כריסטיאן זייפרט, מנהל הפרויקט ובעל הבלוג Honeynet blog, מדובר ביוזמה להגביר את מודעות הארגונים
ברשת האינטרנט למתקפות השונות באינטרנט אשר מסכנות אותם ולספק כלים ושיטות להתגוננות מפני אותן המתקפות
והסיכונים.

כאמור, Honeynet פתחה את Forensic Challenge 2010 באתגר הראשון שלה- "pcap attack trace", המטרה הכללית
של האתגרים היא לבחון את דרכי הניתוח של מנהלי הרשתות בארגונים השונים (או אנשים פרטיים) וללמוד אחד מהשני.

מה שנחמד כאן זה שמדובר באיומים שמוגדרים "In the wild" והאתגרים ש-The Honeynet Project מספקת הם רשומות
של מתקפות שבוצעו על קבוצות ה-Honeypots שהיא מפעילה.

האתגר הראשון השנה הוא- "pcap attack trace" - קובץ pcap המכיל לוג סניפינג של מתקפה שבוצעה על אחת
ה-Honeypot שלהם, המשימה היא לספק דו"ח המכיל ניתוח של הפאקטים העונה על השאלות הבאות:

  • Which systems (i.e. IP addresses) are involved?
  • What can you find out about the attacking host (e.g., where is it located)?
  • How many TCP sessions are contained in the dump file?
  • How long did it take to perform the attack?
  • Which operating system was targeted by the attack? And which service? Which vulnerability?
  • Can you sketch an overview of the general actions performed by the attacker?
  • What specific vulnerability was attacked?
  • What actions does the shellcode perform? Pls list the shellcode.
  • Do you think a Honeypot was used to pose as a vulnerable victim? Why?
  • Was there malware involved? Whats the name of the malware? (We are not looking for a detailed malware analysis for this challenge)
  • Do you think this is a manual or an automated attack? Why?

כל שאלה מספקת מספר נקודות שונה שבסופו של ניתוח משתכלל כציון הסופי של הדו"ח - ויש גם פרסים. את הדו"ח
יש להגיש לכתובת forensicchallenge2010@honeynet.org עד ה-1 לפברואר בשעה 17:00EST.

את התוצאות החברה תספק ב-15 לפברואר. בנוסף, התחברה גם תספק את הדרך שלה לביצוע הניתוח, וכך יהיה ניתן
לשפר את יכולות הניתוח של המשתתפים.

מניתוח זריז שעשיתי לקובץ ניתן לראות ש:
  • התוקף ביצע סריקת FingerPrints קצרה לשרת בכדי לוודא את סוג מערכת ההפעלה המותקנת עליו.
  • בדיקת תיקיות ברירות מחדל משותפות המותקנות עליו.
  • ביצוע Remote Command Execution בעזרת (לפי איך שזה נראה) Buffer Overflow על אחד משירותי ה-microsoft-ds שרץ ב-445/tcp.
  • חיפוש שכנים ברשת המקומית.
  • התחברות לשרת FTP, הזדהות בשם משתמש וסיסמה והורדת קובץ בינארי שאין לי מושג מה עושה, אבל בסוף התהליך מחזיר "Goodbye happy r00ting".

כאן נגמר הקובץ שלהם, אבל מבדיקה מול ה-cc_servers של mtc.sri.com מצאתי שמדובר במחרוזת המשוייכת לקובץ Botnet
שמתחבר לשרת IRC ומתפקד כזומבי. 

ספאמרים עלובים!


מהניתוח הזעום שהצגתי כאן כבר ניתן לענות על מספר שאלות, אבל עדיף להשקיע קצת יותר. בכל אופן, מדובר בפרויקט מעניין
מאוד שאני ממליץ לעקוב אחריו.


תגובות על 'Honeynet Forensic Challenges 2010':



#1 

m1ch43l1014 (אורח):
נשמע מאודד מעניין !!
אני אבדוק את האתגר הזה יותר לעומק...
תודה על סיקור מרתק
28.01.2010 21:58:49

#2 

e755 (אורח):
הלוואי והייתי מבין מיליונית ממה שכתוב כאן =)
בכל אופן, כמו מה שמיכאל אמר, נשמע מעניין (לא הבנתי כ"כ מה זה, אבל זה בהחלט נשמע מעניין XD)
14.02.2010 23:42:32

#3 

m1ch43l1014 (אורח):
e755 - תפתח wireshark ואז תפתח את הקובץ ההוא תקרא יש כבר דרך לפתרון אז תנסה ללמוד ממנו
18.02.2010 17:15:54



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.