#2 - Honeynet Forensic Challenges 2010
![[במקור: https://www.honeynet.org] HoneyNet Logo](https://www.digitalwhisper.co.il/images/0x10/honeylogo.png)
מי שלא זוכר, באתגר הראשון שפורסם (pcap attack trace) היה קובץ pcap עם תעוד של תעבורת
הרשת בזמן המתקפה שבוצעה על ה-Honetpot.
האתגר היה לנתח את ה-pcap בשלל הכלים החינמים הקיימים ברשת ולענות על השאלות הבאות:
- Which systems (i.e. IP addresses) are involved?
- What can you find out about the attacking host (e.g., where is it located)?
- How many TCP sessions are contained in the dump file?
- How long did it take to perform the attack?
- Which operating system was targeted by the attack? And which service? Which vulnerability?
- Can you sketch an overview of the general actions performed by the attacker?
- What specific vulnerability was attacked?
- What actions does the shellcode perform? Pls list the shellcode.
- Do you think a Honeypot was used to pose as a vulnerable victim? Why?
- Was there malware involved? Whats the name of the malware? (We are not looking for a detailed malware analysis for this challenge)
- Do you think this is a manual or an automated attack? Why?
האתגר הראשון נסגר ולפי דבריו של כריסטיאן זייפרט נשלחו כ-91 פתרונות!
באתר גם פורסם הפתרון שזכה במקום הראשון. הפתרון לא רק כולל את תוצאות הניתוח, אלה גם
את הדרך בה הגיעו אליהם- באיזה כלים השתמשו, למה דווקא בהם וכו' - מומלץ מאוד לקרוא וללמוד!
מסתבר שקובץ ה-pcap כלל מתקפה שנעשת ע"י התולעת אחת התולעים ממשפחת Win32/Rbot.
מהלך המתקפה היה:
- ניצול פרצת ה-MS04-11 (אקספלויט לפרצה נכתב עוד באמצע 2004) ודרכה לבצע Remote Code Execution.
- ביצוע Brute-Force ל-$IPC.
- התחברות לשרת FTP, הורדת קובץ SMSS.EXE והרצתו.
- כאן נגמרת המתקפה, המחשב הנגוע מאזין לשרת IRC, מחכה לפקודות ומתפקד כזומבי לכל דבר.
אתמול החבר'ה מ-Honeynet פרסמו את האתגר השני והוא אפילו נשמע מעניין יותר!
שמו של האתגר הוא "Browsers under attack" והוא כולל קובץ pcap המכיל גם
הוא ניתוח של תעבורת הרשת בזמן מתקפה- כנראה מתקפה המנצלת חולשה באחד
מהדפדפנים (ניחוש שלי משמו של אתגר - עוד לא בדקתי).
השאלות לאתגר זה הן:
- List the protocols found in the capture. What protocol do you think the attack is/are based on?
- List IPs, hosts names / domain names. What can you tell about it - extrapolate? What to deduce from the setup? Does it look like real situations?
- List all the web pages. List those visited containing suspect and possibly malicious javascript and who's is connecting to it? Briefly describe the nature of the malicious web pages
- Can you sketch an overview of the general actions performed by the attacker?
- What steps are taken to slow the analysis down?
- Provide the javascripts from the pages identified in the previous question. Decode/deobfuscate them too.
- On the malicious URLs at what do you think the variable 's' refers to? List the differences.
- Which operating system was targeted by the attacks? Which software? And which vulnerabilities? Could the attacks been prevented?
- What actions does the shellcodes perform? Please list the shellcodes (+md5 of the binaries). What's the difference between them?
- Was there malware involved? What is the purpose of the malware(s)? (We are not looking for a detailed malware analysis for this challenge)
בהצלחה לכל מי שמשתתף! יכול להיות שאחד הפוסטים הקרובים יהיה ניתוח שלי על המתקפה.
תגובות על '#2 - Honeynet Forensic Challenges 2010':
#1 |
![]() |
cp77fk4r: אכן, לדעתי האתגר השני הרבה יותר מעניין. שלחתי אנליזה משלי ל-PCAP. 18.02.2010 14:44:22 |
#2 |
![]() |
Sro (אורח): 1. לא כתוב מי כתב את הפוסט, בשנייה הראשונה חשבתי שהגבת לעצמך... 2. השגיאה של הקאפצ'ה מוצגת במיקום ממש לא בולט (לפני התגובה הראשונה). 3. בהצלחה בניתוח התיעוד. 18.02.2010 15:19:30 |
#3 |
![]() |
cp77fk4r: בהחלט הגבתי לעצמי, כתבתי את הפוסט לפני שביצעתי ניתוח למתקפה ואת התגובה לאחריה. בקשר לשאר- נראה מה נוכל לעשות. 18.02.2010 15:41:08 |
#4 |
![]() |
m1ch43l1014 (אורח): אני צריך לראות את האתגר הזה לעומק :] נקווה שאני אגיע לתוצאות טובות.בהצלחה לכל מי שמשתתף באתגר 18.02.2010 17:18:09 |
#5 |
![]() |
cp77fk4r: נקבע דד-ליין חדש לשליחת פתרונות לאתגר השני: ה-8 למרץ! 03.03.2010 15:46:54 |
#6 |
![]() |
m1ch43l1014 (אורח): זה עוד מעט... עוד לא הספקתי את דרך הפתרון הקודמת ולראות איך זה מתגלגל בנושא.לפי מה שהבנתי האתגרים האלו הם רק קבצי PACP של סניפרים?או שישנם עוד אתגרים? 04.03.2010 01:14:44 |
#7 |
![]() |
cp77fk4r: אני לא יודע מה יהיה השנה, לפי מה שהיה עד עכשיו אכן מדובר בקבצי PCAP בלבד. 04.03.2010 18:42:14 |
#8 |
![]() |
cp77fk4r: הדד-ליין עבר, נשלחו 34 תשובות והתוצאות יפורסמו ב-22 לחודש. 10.03.2010 10:45:56 |
הוסף את תגובתך: