banner

[Solved] Christmas Hacking Challenge - Part II



 
En esta segunda entrega se verá la secuencia de pasos y el razonamiento que ha seguido nuestro protagonista, el Sr. Anderson, para averiguar la solución a la primera (1) cuestión.

Antes de comenzar, se recuerda que las evidencias (mencionadas en la primera entrega) disponibles por el Sr. Anderson para su investigación son:
  1. Captura de tráfico de red.
  2. Una fotografía del lugar donde se ha encontrado el abrigo de la "supuesta" víctima.
  3. Un abrigo abadonado de la "supuesta" víctima.
  4. y algunas otras pistas que no conducían a ninguna parte.
Con estas evidencias, la investagación se inicia con la siguiente cuestión:
La pregunta es:
1. According to the packet capture file, what was Grandma's grand plan for Christmas day?
Es decir, el Sr. Anderson deberá encontrar la respuesta a partir del fichero .pcap (xmas2011.pcap) con datos del tráfico de red registrado/capturado en el ordenador de la "ciber" abuela por un sniffer que ella misma tenía instalado.

Capitulo III: El Plan es ...

El Sr. Anderson se llevo la mano a la barbilla, se sentó en una mesa junto a la ventana, miro a través de ella, y no vio nada - era una noche muy cerrada - estaba lloviendo y la luz de la farola parpadeaba a intervalos intermitentes como si de un momento a otro nunca más volviera a iluminar.

Se encontraba, en la comisaría del distrito 43, a las afueras de Sionate, a unos 30 min de su casa, mientras miraba a través del cristal, el Sr. Anderson establecía una estrategia .... - ya esta, lo tengo! - reflexiono en voz alta.
- En mi kit de herramientas, tengo una que es perfecta para el análisis del fichero de datos con la captura del tráfico de red, se trata de NetworkMiner, es una excelente herramienta capaz de realizar un completo análisis forense de los datos contenidos en dicho fichero. [información]
Encendió su portátil, espero a que todas las aplicaciones estuvieran listas para ser utilizadas, repaso mentalmente los pasos que estaba a punto de realizar y comenzo el análisis:

- [Step 1] - Lo primero es verificar que la cadena de custodia de la evidencia se mantiene inalterada, se realiza una copia de seguridad de la evidencia, se comprueba la integridad y se procede a trabajar sobre el fichero "copia" del original.

Step 1 - Launch NetworkMiner.

A continuación, iniciamos el programa de análisis forense para tráfico de red, en este caso se trata de Networkminer.

- [Step 2] - Se deberá cargar la copia del fichero xmas2011.pcap en la herramienta, y en unos segundos, esto dependerá de la cantidad de datos que se encuentren contenidos en el fichero .pcap, la herramienta habrá organizado la información automáticamente, para que sea más sencillo "navegar" y analizar su contenido.

Step 2 - Open xmas2011.pcap to be analyzed.
- [Step 3] - Ouch!! - Olvide desactivar mi sistema Antivirus!, - Ha saltado una alerta indicando "peligro", durante la organización automática de la información contenida en el fichero realizada por la herramienta Networkminer, el sistema de protección detecto una amenaza, por lo tanto deberemos prestar especial atención a mensaje de alerta, y tomar las precausiones necesarias. - Anotaré en mi cuarderno este evento, para tenerlo en consideración más adelante en mi análisis - reflexiono el Sr. Anderson.

Step 3 - AV Alert!





- [Step 4] - Excelente! la herramienta ha organizado toda la información, en diferentes secciones, que se analizará a continuación. Destaca sobretodo la detección y capacidad que tiene la herramienta de detectar, ensamblar y extraer los archivos que han sido enviados por la red y capturados por el sniffer, tal y como se observa en la siguiente imagen:

Step 4 - File detection!





- [Step 5] - Si se realiza una navegación rápida por todas las pestañas que ofrece la herramienta, se obseva (véase imagen paso 4), que NetworkMiner realiza una organización de la información en las siguientes categorías / secciones:

  • Hosts: Dispositivos / Equipos detectados en el tráfico de red (Origen / Destino)
  • Frames: Tramas en las que se dividen los paquetes de red analizados.
  • Files: Ficheros que han sido enviado y/o recibidos durante la conexión de red.
  • Images: Imagenes enviadas y/o recibidas durante la captura del tráfico de red.
  • Messages: Extracción de mensajes enviados y/o recibidos.
  • Credentials: Credenciales de los principales protocolos de comunicación enviadas en texto plano.
  • Sessions: Las sesiones que han sido establecidas en el periodo analizado, con el origen, destino, la duración, protocolo, etc.
  • DNS: Análisis del protocolo DNS si se captura ese tipo de tráfico.
  • Parameters: la más interesante, analiza los parámetros (datos de la capa de aplicación) que contienen los paquetes de red analizados, ordenados según el tipo de protocolo.
  • Keywords: palabras claves, que sean detectadas.
  • Cleartext: palabras detectadas en los paquetes que son enviadas y/o recibidas en texto plano (en claro).
  • Anomalies: Anomalias detectadas en la formación de los paquetes de red.
En especial, despierta en interés de nuestro "analista" la pestaña "parameters" (conviene analizar detenidamente cada una de las pestañas, pero en especial, la correspondiente a los parámetros y datos contenidos en los protocolos de la capa de aplicación). 
- Agente, tiene un momento! creo que he encontrado algo, al parecer el día 25/12/2011 a las 13:51, se registro el envio de un email desde la cuenta root@grandma.gma con destino, supuestamente, el primo Mel cuya cuenta es cousinmel@mail.gma. Pero eso no es todo, además el correo contenia un fichero codificado.

Step 5 - Parameter analysis.
- Sr. Anderson ¿disponemos de ese fichero?
- A ver, en efecto, disponemos del fichero que fue enviado como adjunto al correo, pero, un momento, !! se encuentra codificado ¡¡.
- ¿Cómo? No podemos acceder a la información que contiene, ¿necesitamos un cryptoanalista?
- Espere un momento, según el análisis (véase paso 3 en la imagen del paso 5) se puede esperar que la codificación, que no cifrado, elegida sea sencilla de manejar, se trata de codificación en BASE64.
- Perfecto, entonces ¿Qué nos dice el contenido del archivo adjunto? - Finaliza la frase el agente!.
- [Step 6] - A continuación se busca el fichero adjunto, en la pestaña "Files" de la aplicación, y extraemos el fichero en cuestión (Christmas.msword):

Step 6 Extracting the attached file.
Al abrir el fichero con un simple editor de textos, resulta que el contenido del mismo es ininteligible:

Step 6 - bis - Open chritmas.msword file!
!! Claro ¡¡ Se encuentra códificado en BASE64 ¿Se podrá decodificar? La respuesta es si, sin embargo ¿Qué herramienta dispone Sr. Anderson?

- [Step 7] - En el momento del analisis el Sr. Anderson olvido una herramienta que le permita analizar el contenido del fichero codificado en BASE64, por suerte, conoce un sitio web con una herramienta online que le permitirá realizar la operación (supongamos que se trata de una función implementada en un servidor propietarío del Sr. Anderson, para dotar de mayor realismo al caso ;)).

Step 7 Decode chritmas.msword file!
Ahora, abrimos el fichero base64.bin (versión decodificada el chritmas.msword) con un simple editor de texto, por ejemplo: WordPad.

Step 7 Attached file data!
- [Step 8] - Examinando detenidamente el fichero obtenido tras la decodificación, se obtiene el siguiente texto:
<<Dear Mel,

Here are the details of my secret plan.

After the investigation turns up the evidence I plant, you provide eyewitness testimony in court, and Rudolph is convicted, you will receive the insurance payout.  We can then use that money to fund our Caribbean retirement.
   
I am not sure I ever told you this, Mel, but as a child, my village was attacked by a ravenous band of rampaging reindeer, instilling a life-long hatred in me for the flea-bitten beasts.  I’ll never forget their horrible comments as they galloped through our village.  Because of that chilling childhood experience, I’m going to fake my death and blame it all on Rudolph, the most well-known reindeer of all.  He’ll rot away in jail forever.
   
Merry Christmas,
   
Grandma

----

Dear Mel,

Dear Grandma ran.I will hide out at the Plaza Hotel near Central Park for several weeks, and meet you there in the lobby exactly one week after the trial concludes with a guilty verdict for Rudolph, precisely at noon local time.  Make sure you bring the money in a suitcase full of cash.  I’ll be wearing one red shoe. u Normal 9 an.>>
Con la información obtenida hasta el momento, se puede concluir que el Plan de la abuela del pequeño Timmy era simular su muerte a manos del "Rudolph" (el reno maligno) para que fuese enjaulado para siempre!

Continuará ....

No hay comentarios :

Publicar un comentario en la entrada