Network Forensics Puzzle Contest に挑戦 #2
description
Transcript of Network Forensics Puzzle Contest に挑戦 #2
![Page 1: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/1.jpg)
Network Forensics Puzzle Contest #2 を解析してみた
村地 彰 aka hebikuzure
![Page 2: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/2.jpg)
Puzzle #2: Ann skips bail
• 出題 http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail
• 対象ファイルhttp://forensicscontest.com/contest02/evidence02.pcap
![Page 3: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/3.jpg)
前回は… ..
• NetworkMinor に喰わせてみたら全部一発で答えが出てしまったので
• 今回は地道に作業します
![Page 4: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/4.jpg)
まず Ann の IP アドレスを調べる
• Wireshark で開く• [Statistics] – [Conversations]• IPv4 セッションは 6 つ– 192.168.1.10, 192.168.1.30,
192.168.1.159, 10.1.1.20, smtp.cs.com (64.12.102.142)
• TCP セッションは 2 つ–いずれも 192.168.1.159 と smtp.cs.com
![Page 5: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/5.jpg)
192.168.1.159 が目的のアドレス
![Page 6: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/6.jpg)
フィルタする
• [Conversations] のウィンドウで会話を右クリック
• [Apply as Filter] – [Selected] – [A⇔B]
![Page 7: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/7.jpg)
TCP ストリームを見る
![Page 8: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/8.jpg)
ここまででわかる事
• Ann の IP アドレスは 192.168.1.159• smtp.cs.com の Submission ポートに
接続して SMTP サーバーに AUTH LOGIN でログインしている
• メール アドレスは [email protected] らしい
• 送信先は [email protected]
![Page 9: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/9.jpg)
ユーザー名とパスワード
• いずれも BASE64 エンコードされている
• ユーザー名c25lYWt5ZzMza0Bhb2wuY29t
• パスワードNTU4cjAwbHo=
• デコードしてユーザー名 : [email protected]パスワード : 558r00lz
![Page 10: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/10.jpg)
メールの内容は ?
• Sorry-- I can't do lunch next week after all. Heading out of town. =Another time! –Ann
• 特に秘密の内容ではなさそう…………
![Page 11: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/11.jpg)
もう一つのストリームも見る
![Page 12: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/12.jpg)
こちらが本命か ?
• 送信先 : [email protected]• 本文
Hi sweetheart! Bring your fake passport and a bathing suit. Address =attached. love, Ann
• 偽造パスポートと水着を持参してね、ってことですか ( ー _ ー )!!
![Page 13: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/13.jpg)
添付ファイルがあるぞ
![Page 14: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/14.jpg)
添付ファイル
• ファイル名 : secretrendezvous.docx( 秘密の逢引 )
• コンテンツは BASE64 エンコード
![Page 15: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/15.jpg)
添付ファイルを取り出す
• BASE64 デコード ツールを使う– http://www.rbl.jp/base64.php– http://www.webutils.pl/index.php?
idx=base64
• メール メッセージとして復元し、メールクライアントで添付ファイルを取り出す– .eml ファイルとして保存し、 Outlook
Express や Outlook で開く– http://support.microsoft.com/kb/
956693/ja
![Page 16: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/16.jpg)
取り出したファイルを確認
![Page 17: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/17.jpg)
ファイルの MD5 を計算
• secretrendezvous.docx9e423e11db88f01bbff81172839e1923
• image1.pngaadeace50997b1ba24b09ac2ef1940b7
![Page 18: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/18.jpg)
さて、 NetworkMiner では…
![Page 19: Network Forensics Puzzle Contest に挑戦 #2](https://reader035.fdocuments.net/reader035/viewer/2022062220/55921f6e1a28abe4598b4591/html5/thumbnails/19.jpg)
NetworkMiner の勝ちでした
• メール メッセージ• メール資格情報 ( ユーザー名とパスワー
ド )• 添付ファイル
• 全部自動抽出してくれました• 後は MD5 を計算するだけ……