#2 - Honeynet Forensic Challenges 2010

HoneyNet Logo
לפני מספר שבועות פרסמנו כאן את האתגר הראשון לשנת 2010 של הפרוייקט Honeynet
מי שלא זוכר, באתגר הראשון שפורסם (pcap attack trace) היה קובץ pcap עם תעוד של תעבורת
הרשת בזמן המתקפה שבוצעה על ה-Honetpot.
 
האתגר היה לנתח את ה-pcap בשלל הכלים החינמים הקיימים ברשת ולענות על השאלות הבאות:

  • Which systems (i.e. IP addresses) are involved?
  • What can you find out about the attacking host (e.g., where is it located)?
  • How many TCP sessions are contained in the dump file? 
  • How long did it take to perform the attack? 
  • Which operating system was targeted by the attack? And which service? Which vulnerability? 
  • Can you sketch an overview of the general actions performed by the attacker? 
  • What specific vulnerability was attacked? 
  • What actions does the shellcode perform? Pls list the shellcode. 
  • Do you think a Honeypot was used to pose as a vulnerable victim? Why? 
  • Was there malware involved? Whats the name of the malware? (We are not looking for a detailed malware analysis for this challenge) 
  • Do you think this is a manual or an automated attack? Why? 


האתגר הראשון נסגר ולפי דבריו של כריסטיאן זייפרט נשלחו כ-91 פתרונות!
באתר גם פורסם הפתרון שזכה במקום הראשון. הפתרון לא רק כולל את תוצאות הניתוח, אלה גם
את הדרך בה הגיעו אליהם- באיזה כלים השתמשו, למה דווקא בהם וכו' - מומלץ מאוד לקרוא וללמוד!

מסתבר שקובץ ה-pcap כלל מתקפה שנעשת ע"י התולעת אחת התולעים ממשפחת Win32/Rbot.
מהלך המתקפה היה:
  • ניצול פרצת ה-MS04-11 (אקספלויט לפרצה נכתב עוד באמצע 2004) ודרכה לבצע Remote Code Execution.
  • ביצוע Brute-Force ל-$IPC.
  • התחברות לשרת FTP, הורדת קובץ SMSS.EXE והרצתו.
  • כאן נגמרת המתקפה, המחשב הנגוע מאזין לשרת IRC, מחכה לפקודות ומתפקד כזומבי לכל דבר.



אתמול החבר'ה מ-Honeynet פרסמו את האתגר השני והוא אפילו נשמע מעניין יותר!
שמו של האתגר הוא "Browsers under attack" והוא כולל קובץ pcap המכיל גם
הוא ניתוח של תעבורת הרשת בזמן מתקפה- כנראה מתקפה המנצלת חולשה באחד 
מהדפדפנים (ניחוש שלי משמו של אתגר - עוד לא בדקתי).

השאלות לאתגר זה הן:
  • List the protocols found in the capture. What protocol do you think the attack is/are based on?
  • List IPs, hosts names / domain names. What can you tell about it - extrapolate? What to deduce from the setup? Does it look like real situations?
  • List all the web pages. List those visited containing suspect and possibly malicious javascript and who's is connecting to it? Briefly describe the nature of the malicious web pages
  • Can you sketch an overview of the general actions performed by the attacker?
  • What steps are taken to slow the analysis down?
  • Provide the javascripts from the pages identified in the previous question. Decode/deobfuscate them too.
  • On the malicious URLs at what do you think the variable 's' refers to? List the differences.
  • Which operating system was targeted by the attacks? Which software? And which vulnerabilities? Could the attacks been prevented?
  • What actions does the shellcodes perform? Please list the shellcodes (+md5 of the binaries). What's the difference between them?
  • Was there malware involved? What is the purpose of the malware(s)? (We are not looking for a detailed malware analysis for this challenge)

בהצלחה לכל מי שמשתתף! יכול להיות שאחד הפוסטים הקרובים יהיה ניתוח שלי על המתקפה.


תגובות על '#2 - Honeynet Forensic Challenges 2010':



#1 

cp77fk4r:
אכן, לדעתי האתגר השני הרבה יותר מעניין.
שלחתי אנליזה משלי ל-PCAP.
18.02.2010 14:44:22

#2 

Sro (אורח):
1. לא כתוב מי כתב את הפוסט, בשנייה הראשונה חשבתי שהגבת לעצמך...
2. השגיאה של הקאפצ'ה מוצגת במיקום ממש לא בולט (לפני התגובה הראשונה).
3. בהצלחה בניתוח התיעוד.
18.02.2010 15:19:30

#3 

cp77fk4r:
בהחלט הגבתי לעצמי, כתבתי את הפוסט לפני שביצעתי ניתוח למתקפה ואת התגובה לאחריה.

בקשר לשאר- נראה מה נוכל לעשות.
18.02.2010 15:41:08

#4 

m1ch43l1014 (אורח):
אני צריך לראות את האתגר הזה לעומק :] נקווה שאני אגיע לתוצאות טובות.בהצלחה לכל מי שמשתתף באתגר
18.02.2010 17:18:09

#5 

cp77fk4r:
נקבע דד-ליין חדש לשליחת פתרונות לאתגר השני: ה-8 למרץ!
03.03.2010 15:46:54

#6 

m1ch43l1014 (אורח):
זה עוד מעט... עוד לא הספקתי את דרך הפתרון הקודמת ולראות איך זה מתגלגל בנושא.לפי מה שהבנתי האתגרים האלו הם רק קבצי PACP של סניפרים?או שישנם עוד אתגרים?
04.03.2010 01:14:44

#7 

cp77fk4r:
אני לא יודע מה יהיה השנה, לפי מה שהיה עד עכשיו אכן מדובר בקבצי PCAP בלבד.
04.03.2010 18:42:14

#8 

cp77fk4r:
הדד-ליין עבר, נשלחו 34 תשובות והתוצאות יפורסמו ב-22 לחודש.
10.03.2010 10:45:56



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.