ATND アテンド β PRODUCED BY RECRUIT

ログイン or 無料登録

第13回「ネットワーク パケットを読む会(仮)」

ネットワークの中身を見る勉強会

日時 :
2013/03/21 (木) 19:00 ~ 20:45
定員 :
50人
会場 :
京橋プラザ区民館 2階 洋室1号室(東京都中央区銀座1丁目25番3号)
URL :
http://pa.hebikuzure.com/
主催者 :
ハッシュタグ :
#pakeana

第13回「ネットワークパケットを読む会(仮)」を 3月21日(木) に開催します

第8回、第9回、第11回、第12回に引き続きオンライン上で開催されたパケット解析コンテスト Network Forensics Puzzle Contest のPuzzle に挑戦します。

第13回「ネットワークパケットを読む会(仮)」参加者募集のお知らせ


第13回目の「ネットワーク パケットを読む会(仮)」を以下のとおり開催します。

  • 日時 2013年3月21日(木) 19:00 – 20:45

  • 会場 京橋プラザ区民館 2階 洋室1号室 (東京都中央区銀座1丁目25番3号)

  • 交通 各線 銀座・京橋・宝町・銀座一丁目・東銀座から徒歩、有楽町からも徒歩圏内です

  • 内容

    • 参加者一言自己紹介

    • Network Forensics Puzzle Contest に挑戦 (下記参照)

    • 3Gパケットの読み方講座(Lineは、こういう通信しているよ) By ととろ
  • 参加費 実費 300円程度の予定

会場はいつもと同じ会館の 2 階です。
ネットワーク解析関係の発表やライトニング トークを募集します。詳しくは「ネットワーク パケットを読む会(仮)」Web サイト (http://pa.hebikuzure.com/)をご覧ください。

Network Forensics Puzzle Contest に挑戦


第8回、第9回、第11回、第12回に引き続きオンライン上で開催されているパケット解析コンテスト Network Forensics Puzzle Contest のPuzzle に挑戦します。
今回は第6回の出題「Puzzle #6: Ann’s Aurora」の解析を試します。参加される方は、時間があれば事前に問題の解析を行ってください。 なおこの Puzzle は過去の出題ですので、既に正解が公開されています。勉強会では手軽に利用できるパケット解析ツール (Wireshark など) を使って、どのような手法で解析できるかを検討していきます。
解析を試された方は、その手法や結果を簡単に発表していただけるようご準備いただけると、大変ありがたいのでよろしくお願いいたします。
ご注意

Puzzle #5:Ms. Moneymany’s Mysterious Malware」の課題パケット キャプチャ ファイルがリンク切りになっているため、課題を変更しました
出題要旨

Ann Dercover は SaucyCorp 社の 秘密のソース レシピを盗み出すため、Internet Explroer への 0-day エクスプロイトを利用して、Vick Timmes 氏に標的型攻撃を仕掛けました。巧妙に仕組まれた e メールを送信し、リンクをクリックさせます。
回答者はフォレンジック調査員として、Ann のエクスプロイトを含むパケットを調査して以下の情報を得る必要があります。
今回の証拠のパケット (evidence06.zip) は以下からダウンロードできます

http://pa.hebikuzure.com/Files/evidence06.zip

設問

Ann Dercover は SaucyCorp 社の 秘密のソース レシピを盗み出すため、Internet Explroer への 0-day エクスプロイトを利用して、Vick Timmes 氏に標的型攻撃を仕掛けました。巧妙に仕組まれた e メールを送信し、リンクをクリックさせます。
回答者はフォレンジック調査員として、Ann のエクスプロイトを含むパケットを調査して以下の情報を得る必要があります。

  • Vick Timmes 氏の最初の Web リクエストのフル URI は何でしょう (ポート番号も含めてください)

  • 悪意のある Web サーバーからのレスポンスでは難読化 Javascript が送信されています。このコードの先頭付近に、攻撃者は “COMMENT” というラベルを付けた 1300 要素の配列を作成し、要素に文字列を書き込んでいます。この文字列の値は何でしょう

  • Vick 氏のコンピューターはある対象に第二の HTTP リクエストを行っています。
    a. リクエストの対象のファイル名は何でしょう
    b. リクエストした対象の MD5sum は何でしょう

  • 4444 ポートがオープンされたのはいつでしょう (パケットキャプチャ開始からの経過時間を、0.1秒に丸めて示してください。例 49.5 秒)

  • 4444 ポートがクローズされたのはいつでしょう (パケットキャプチャ開始からの経過時間を、0.1秒に丸めて示してください。例 49.5 秒)

  • パケット 17で、悪意のあるサーバーはクライアントにファイルを送信しています。
    a. ファイルの種類は何でしょう。以下から 1 つ選択してください
    ◾Windows 実行ファイル
    ◾GIF イメージ
    ◾PHP スクリプト
    ◾Zip ファイル
    ◾暗号化データ
    b. このファイルの MD5sum は何でしょう

  • Vick 氏のコンピューターは、最初の 4444 ポートがクローズされた後も、繰り返し悪意のあるサーバーの 4445 ポートへの接続を試みています。これらの繰り返されている失敗した接続の試みについて以下を回答してください :
    a. TCP initial sequence number (ISN) はどの程度の頻度で変更されていますか (1 つ選択)
    ◾すべてのパケットごと
    ◾3パケットごと
    ◾10-15 秒ごと
    ◾30-35 秒ごと
    ◾60 秒ごと
    b. IP ID はどの程度の頻度で変更されていますか (1 つ選択)
    ◾すべてのパケットごと
    ◾3パケットごと
    ◾10-15 秒ごと
    ◾30-35 秒ごと
    ◾60 秒ごと
    c. ソース ポートはどの程度の頻度で変更されていますか (1 つ選択)
    ◾すべてのパケットごと
    ◾3パケットごと
    ◾10-15 秒ごと
    ◾30-35 秒ごと
    ◾60 秒ごと

  • 最終的に、悪意のあるサーバーは応答して新しいコネクションをオープンします。ポート 4445 で TCP コネクションが確立したのはいつでしょう (パケットキャプチャ開始からの経過時間を、0.1秒に丸めて示してください。例 49.5 秒)

  • その後、悪意のあるサーバーはポート 4445 からクライアントに実行ファイルを送信しています。この実行ファイルの MD5sum は何でしょう

  • ポート 4445 の TCP コネクションが切断されたのはいつでしょう (パケットキャプチャ開始からの経過時間を、0.1秒に丸めて示してください。例 49.5 秒)

以上について、解析を試してください。

重要な注意事項

上記のパケット キャプチャ ファイルのペイロードには、実際のマルウェアが含まれています。不用意にペイロードを実体化すると、操作している環境がマルウェアに感染する危険があります。解析を行う際には十分に注意してください。解析は実運用環境とは別の検証専用の環境 (仮想マシンや検証専用のハードウェア) で行うことを強くお勧めします。
パケット キャプチャ ファイルを取り扱う際に誤ってファイルに含まれるマルウェアに感染しても、勉強会および主催者は一切の責任を負いません。安全な環境が用意できない場合、安全確保に自信がない場合は、解析を行わないことを強くお勧めします。解析が行えない場合でも、勉強会への参加は可能です。

  • このコメントは全員が閲覧、すべてのログインユーザが投稿することができます

コメントを投稿するには、ログインしてください。

掲載されるイベント情報は、利用者の皆様によりご提供いただくものであり、株式会社リクルートホールディングスは本情報の正確性や内容について、一切保証するものではございません。詳しくは利用規約をご参照ください。