Desafio: Análise Forense Computacional - Forense em Tráfego de Rede [Resolvido]
O desafio a seguir, na área de Análise Forense Computacional, consiste em uma análise forense em tráfego de rede, onde temos uma série de perguntas relacionadas a um arquivo a ser entregue neste mesmo desafio. Bom trabalho, excelente estudo e boa sorte no desafio!
[ Hits: 16.579 ]
Por: Bruno Salgado em 20/11/2012 | Blog: http://www.seginfo.com.br
Descrição do desafio
Veja abaixo todas as informações sobre o desafio. A solução foi publicada na página 2.
Alguns dias após o ocorrido, descobriram o que Rafael havia feito, e por sinal, encontraram um arquivo dentro de seu computador:
... mas não foram capazes de identificar o que de fato aconteceu.
Obs.: Baixar o arquivo de:
Você é um perito e seu objetivo é descobrir como Rafael fez isso!
Perguntas:
Abaixo, os vídeos relacionados ao desafio de Análise Forense Computacional de Tráfego de Rede.
Webinar #10 - Captura (grampo) e análise de tráfego em redes de computadores:
Webinar #9 - As provas e as evidências na investigação dos crimes informáticos:
Descrição do jogo
Filipe é dono de uma padaria e possui uma receita incrível para fazer seus pães, onde todos em sua cidade adoram. Mas Rafael, que é um concorrente, deseja obter esta receita, e para isso fingiu ser o neto de Filipe para obter a receita secreta.Alguns dias após o ocorrido, descobriram o que Rafael havia feito, e por sinal, encontraram um arquivo dentro de seu computador:
padaria.pcap (md5:9c546f3e88828c6d3182fcd25f5304b2)
... mas não foram capazes de identificar o que de fato aconteceu.
Obs.: Baixar o arquivo de:
Você é um perito e seu objetivo é descobrir como Rafael fez isso!
Perguntas:
- Qual nick Rafael utilizou para se passar pelo neto de Filipe?
- Qual foi o primeiro comentário na conversa entre os dois?
- Qual o nome do arquivo que foi transferido durante a conversa?
- O que aconteceu após a transmissão de tal arquivo?
- Onde Rafael encontrou o arquivo que contém a receita secreta?
- Qual é a receita secreta?
Abaixo, os vídeos relacionados ao desafio de Análise Forense Computacional de Tráfego de Rede.
Webinar #10 - Captura (grampo) e análise de tráfego em redes de computadores:
Webinar #2 - Análise forense computacional em tráfego de rede:
Palestra: Desafios em computação forense e resposta a incidentes - Sandro Suffert - Workshop SegInfo 2011:
O gabarito do desafio será publicado como atualização deste artigo na próxima semana.
Páginas do artigo
1. Descrição do desafio2. Solução / Gabarito do desafio
Outros artigos deste autor
Trilhas de Certificação em Segurança da Informação - Qual caminho seguir?
Utilizando o Nmap Scripting Engine (NSE)
Auditorias Teste de Invasão para Proteção de Redes Corporativas
Leitura recomendada
Ferramentas de administração remota
Instalando o Nagios via APT ou YUM
Instalando Bind9 + chroot no Debian
Como configurar um IPTABLES simples e seguro no Slackware!
Comentários
[1] Comentário enviado por brunosf em 08/11/2012 - 00:05h
Acho que é isso:
Páh
Você é um perito e seu objetivo é descobrir como Rafael fez isso!
Perguntas:
Qual nick Rafael utilizou para se passar pelo neto de Filipe?
Guylherme Portão (guy.portao@hotmail.com)
Qual foi o primeiro comentário na conversa entre os dois?
Olá vovô, estou com muita saudade do senhor e de seus pães deliciosos..
Qual o nome do arquivo que foi transferido durante a conversa?
ab.pdb
O que aconteceu após a transmissão de tal arquivo?
Foi enviado um backdoor que abriu uma cnexão reversa com o atacante (172.31.31.148)na porta 4444 (possível backdoor gerado pelo metasploit framework_) o payload utilizado rodou o interpretador de comandos da máquina de filipe com os plivilégio do usuário filipe
Onde Rafael encontrou o arquivo que contém a receita secreta?
C:\Receitas\Secretas>
Qual é a receita secreta?
* Ingredientes
. quilo de farinha de trigo
15 g de fermento para p.o
15 g de sal
20 g de a..car
1 colher (sopa) se margarina
Acompanhe as novas receitas no Twitter
Conhe.a a nossa p.gina no Facebook
* Modo de preparo
Dilua o fermento em um copo de .gua morna com o a..car.
Misture os outros ingredientes.
Amassa e levante, empurrando a massa para frente, com a palma da m.o e dobrando-a sobre si mesma.
Se for necess.rio, coloque mais .gua e mais farinha.
A massa n.o dever. grudar nas m.os.
Deve ficar com aspecto leve e esponjoso.
Deixe descansar por duas horas.
A seguir, amasse novamente e prepare o p.o, dando-lhe o formato desejado e coloque no tabuleiro untado.
Se estiver pegajosa, espalhe mais farinha por cima.
Deixe que ela descanse mais uma hora.
Aque.a o forno e pincele o p.o com .gua antes de coloc.-lo no forno.
Assar por 40 minutos mais ou menos.
Rendimento: 20 por..es
Tempo: 150 minutos
Acho que é isso:
Páh
Você é um perito e seu objetivo é descobrir como Rafael fez isso!
Perguntas:
Qual nick Rafael utilizou para se passar pelo neto de Filipe?
Guylherme Portão (guy.portao@hotmail.com)
Qual foi o primeiro comentário na conversa entre os dois?
Olá vovô, estou com muita saudade do senhor e de seus pães deliciosos..
Qual o nome do arquivo que foi transferido durante a conversa?
ab.pdb
O que aconteceu após a transmissão de tal arquivo?
Foi enviado um backdoor que abriu uma cnexão reversa com o atacante (172.31.31.148)na porta 4444 (possível backdoor gerado pelo metasploit framework_) o payload utilizado rodou o interpretador de comandos da máquina de filipe com os plivilégio do usuário filipe
Onde Rafael encontrou o arquivo que contém a receita secreta?
C:\Receitas\Secretas>
Qual é a receita secreta?
* Ingredientes
. quilo de farinha de trigo
15 g de fermento para p.o
15 g de sal
20 g de a..car
1 colher (sopa) se margarina
Acompanhe as novas receitas no Twitter
Conhe.a a nossa p.gina no Facebook
* Modo de preparo
Dilua o fermento em um copo de .gua morna com o a..car.
Misture os outros ingredientes.
Amassa e levante, empurrando a massa para frente, com a palma da m.o e dobrando-a sobre si mesma.
Se for necess.rio, coloque mais .gua e mais farinha.
A massa n.o dever. grudar nas m.os.
Deve ficar com aspecto leve e esponjoso.
Deixe descansar por duas horas.
A seguir, amasse novamente e prepare o p.o, dando-lhe o formato desejado e coloque no tabuleiro untado.
Se estiver pegajosa, espalhe mais farinha por cima.
Deixe que ela descanse mais uma hora.
Aque.a o forno e pincele o p.o com .gua antes de coloc.-lo no forno.
Assar por 40 minutos mais ou menos.
Rendimento: 20 por..es
Tempo: 150 minutos
[2] Comentário enviado por sk4d1nh4 em 13/11/2012 - 23:36h
E ae Brunosf. Beleza?
Encontrei as mesmas respostas, mas tenho uma dúvida.
E o arquivo simulador-padaria.exe que estava na área de trabalho do user Filipe? O que seria ele? Fiquei na duvida se não foi ele o transferido...
Abraços!
E ae Brunosf. Beleza?
Encontrei as mesmas respostas, mas tenho uma dúvida.
E o arquivo simulador-padaria.exe que estava na área de trabalho do user Filipe? O que seria ele? Fiquei na duvida se não foi ele o transferido...
Abraços!
[3] Comentário enviado por danielcrvg em 19/11/2012 - 16:49h
eae bruno blz??
eu travei na parte do nome do arquivo, eu ate consigo identificar quando comeca a transferir mas eu nao consegui acha o nome e assim nao pude prossegui, pode me ajudar?
eu tambem nao consegui entender pra que eu vou utilizar aquele md5 la..
obrigado,
Daniel
eae bruno blz??
eu travei na parte do nome do arquivo, eu ate consigo identificar quando comeca a transferir mas eu nao consegui acha o nome e assim nao pude prossegui, pode me ajudar?
eu tambem nao consegui entender pra que eu vou utilizar aquele md5 la..
obrigado,
Daniel
[4] Comentário enviado por brunosalgado em 19/11/2012 - 20:58h
[1] Comentário enviado por brunosf em 08/11/2012 - 00:05h:
Acho que é isso:
Páh
Você é um perito e seu objetivo é descobrir como Rafael fez isso!
Perguntas:
Qual nick Rafael utilizou para se passar pelo neto de Filipe?
Guylherme Portão (guy.portao@hotmail.com)
Qual foi o primeiro comentário na conversa entre os dois?
Olá vovô, estou com muita saudade do senhor e de seus pães deliciosos..
Qual o nome do arquivo que foi transferido durante a conversa?
ab.pdb
O que aconteceu após a transmissão de tal arquivo?
Foi enviado um backdoor que abriu uma cnexão reversa com o atacante (172.31.31.148)na porta 4444 (possível backdoor gerado pelo metasploit framework_) o payload utilizado rodou o interpretador de comandos da máquina de filipe com os plivilégio do usuário filipe
Onde Rafael encontrou o arquivo que contém a receita secreta?
C:\Receitas\Secretas>
Qual é a receita secreta?
* Ingredientes
. quilo de farinha de trigo
15 g de fermento para p.o
15 g de sal
20 g de a..car
1 colher (sopa) se margarina
Acompanhe as novas receitas no Twitter
Conhe.a a nossa p.gina no Facebook
* Modo de preparo
Dilua o fermento em um copo de .gua morna com o a..car.
Misture os outros ingredientes.
Amassa e levante, empurrando a massa para frente, com a palma da m.o e dobrando-a sobre si mesma.
Se for necess.rio, coloque mais .gua e mais farinha.
A massa n.o dever. grudar nas m.os.
Deve ficar com aspecto leve e esponjoso.
Deixe descansar por duas horas.
A seguir, amasse novamente e prepare o p.o, dando-lhe o formato desejado e coloque no tabuleiro untado.
Se estiver pegajosa, espalhe mais farinha por cima.
Deixe que ela descanse mais uma hora.
Aque.a o forno e pincele o p.o com .gua antes de coloc.-lo no forno.
Assar por 40 minutos mais ou menos.
Rendimento: 20 por..es
Tempo: 150 minutos
Olá Bruno!
Vou divulgar o gabarito aqui no Viva o Linux nos próximos dias, ok? =]
[1] Comentário enviado por brunosf em 08/11/2012 - 00:05h:
Acho que é isso:
Páh
Você é um perito e seu objetivo é descobrir como Rafael fez isso!
Perguntas:
Qual nick Rafael utilizou para se passar pelo neto de Filipe?
Guylherme Portão (guy.portao@hotmail.com)
Qual foi o primeiro comentário na conversa entre os dois?
Olá vovô, estou com muita saudade do senhor e de seus pães deliciosos..
Qual o nome do arquivo que foi transferido durante a conversa?
ab.pdb
O que aconteceu após a transmissão de tal arquivo?
Foi enviado um backdoor que abriu uma cnexão reversa com o atacante (172.31.31.148)na porta 4444 (possível backdoor gerado pelo metasploit framework_) o payload utilizado rodou o interpretador de comandos da máquina de filipe com os plivilégio do usuário filipe
Onde Rafael encontrou o arquivo que contém a receita secreta?
C:\Receitas\Secretas>
Qual é a receita secreta?
* Ingredientes
. quilo de farinha de trigo
15 g de fermento para p.o
15 g de sal
20 g de a..car
1 colher (sopa) se margarina
Acompanhe as novas receitas no Twitter
Conhe.a a nossa p.gina no Facebook
* Modo de preparo
Dilua o fermento em um copo de .gua morna com o a..car.
Misture os outros ingredientes.
Amassa e levante, empurrando a massa para frente, com a palma da m.o e dobrando-a sobre si mesma.
Se for necess.rio, coloque mais .gua e mais farinha.
A massa n.o dever. grudar nas m.os.
Deve ficar com aspecto leve e esponjoso.
Deixe descansar por duas horas.
A seguir, amasse novamente e prepare o p.o, dando-lhe o formato desejado e coloque no tabuleiro untado.
Se estiver pegajosa, espalhe mais farinha por cima.
Deixe que ela descanse mais uma hora.
Aque.a o forno e pincele o p.o com .gua antes de coloc.-lo no forno.
Assar por 40 minutos mais ou menos.
Rendimento: 20 por..es
Tempo: 150 minutos
Olá Bruno!
Vou divulgar o gabarito aqui no Viva o Linux nos próximos dias, ok? =]
[5] Comentário enviado por brunosalgado em 19/11/2012 - 21:00h
[2] Comentário enviado por sk4d1nh4 em 13/11/2012 - 23:36h:
E ae Brunosf. Beleza?
Encontrei as mesmas respostas, mas tenho uma dúvida.
E o arquivo simulador-padaria.exe que estava na área de trabalho do user Filipe? O que seria ele? Fiquei na duvida se não foi ele o transferido...
Abraços!
Olá Allan!
O arquivo simulador-padaria.exe é justamente o arquivo responsável pelo backdoor criado para a máquina do Felipe. Com a execução deste arquivo é que foi liberado o acesso remoto à máquina do Felipe. Este foi o arquivo transferido durante a conversa :)
Um grande abraço!
[2] Comentário enviado por sk4d1nh4 em 13/11/2012 - 23:36h:
E ae Brunosf. Beleza?
Encontrei as mesmas respostas, mas tenho uma dúvida.
E o arquivo simulador-padaria.exe que estava na área de trabalho do user Filipe? O que seria ele? Fiquei na duvida se não foi ele o transferido...
Abraços!
Olá Allan!
O arquivo simulador-padaria.exe é justamente o arquivo responsável pelo backdoor criado para a máquina do Felipe. Com a execução deste arquivo é que foi liberado o acesso remoto à máquina do Felipe. Este foi o arquivo transferido durante a conversa :)
Um grande abraço!
[6] Comentário enviado por brunosalgado em 19/11/2012 - 21:02h
[3] Comentário enviado por danielcrvg em 19/11/2012 - 16:49h:
eae bruno blz??
eu travei na parte do nome do arquivo, eu ate consigo identificar quando comeca a transferir mas eu nao consegui acha o nome e assim nao pude prossegui, pode me ajudar?
eu tambem nao consegui entender pra que eu vou utilizar aquele md5 la..
obrigado,
Daniel
Olá Daniel!
O md5 possui a finalidade de verificação de integridade do arquivo, nesse caso para saber se o download do arquivo foi feito com sucesso ou não.
Como já foi identificado o momento em que se inicia a transferência, para saber o nome do arquivo você deverá obter a mensagem transferida, que está codificada, descobrir a codificação da mesma e decodificá-la. No início da mensagem está o nome do arquivo. Bons estudos! 8-)
[3] Comentário enviado por danielcrvg em 19/11/2012 - 16:49h:
eae bruno blz??
eu travei na parte do nome do arquivo, eu ate consigo identificar quando comeca a transferir mas eu nao consegui acha o nome e assim nao pude prossegui, pode me ajudar?
eu tambem nao consegui entender pra que eu vou utilizar aquele md5 la..
obrigado,
Daniel
Olá Daniel!
O md5 possui a finalidade de verificação de integridade do arquivo, nesse caso para saber se o download do arquivo foi feito com sucesso ou não.
Como já foi identificado o momento em que se inicia a transferência, para saber o nome do arquivo você deverá obter a mensagem transferida, que está codificada, descobrir a codificação da mesma e decodificá-la. No início da mensagem está o nome do arquivo. Bons estudos! 8-)
[7] Comentário enviado por danielcrvg em 20/11/2012 - 18:18h
Obrigado pelas respostas, eu achei que eu ia ter que utilizar aquele md5 pra quebrar as mensagens...
ainda nao consegui passar daquele ponto, nao tenho nem ideia de como decifrar isso....
confesso que sou um pouco leigo neste assunto mais aprofundado, voce me recomenda alguma leitura ou video relacionado a esta area de analise de trafego de pacotes criptografados???
eu ja vi estes videos que vc recomendou e me ajudaram bastante..
obrigado,
Daniel
Obrigado pelas respostas, eu achei que eu ia ter que utilizar aquele md5 pra quebrar as mensagens...
ainda nao consegui passar daquele ponto, nao tenho nem ideia de como decifrar isso....
confesso que sou um pouco leigo neste assunto mais aprofundado, voce me recomenda alguma leitura ou video relacionado a esta area de analise de trafego de pacotes criptografados???
eu ja vi estes videos que vc recomendou e me ajudaram bastante..
obrigado,
Daniel
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Descartando Séries no Slackware não tão Necessárias
Certificado A3 (Cartão) no eCAC (Receita Federal) no Ubuntu 19.10 e Similares
openSUSE - Deveria Ser a Porta de Entrada no Mundo Linux?
Ubuntu Minimal para Usuários Comuns
Acesso Remoto: Configurando e Iniciando o Servidor Telnet e SSH
Dicas
Falha na Verificação de Chave Pública (GPG) no openSUSE [Resolvido]
Gimp - Como é Feita Criptografia do Brilho [Vídeo]
Cedilha (ç) não funciona no Debian 10 Buster
Tópicos
Toda vez que ligo ten que realizar um fsck, ou o sitema não abre a inf... (0)
configuracao do vps e centos7 (0)
Material de Estudo - Fedora (1)
ISC-DHCP-SERVER erro Failed to start LSB: DHCP server. [RESOLVIDO] (2)
Top 10 do mês
-
Xerxes Lins
1° lugar - 92.384 pts -
Andre (pinduvoz)
2° lugar - 51.293 pts -
Clodoaldo Santos
3° lugar - 48.493 pts -
Fábio Berbert de Paula
4° lugar - 44.761 pts -
Lisandro Guerra
5° lugar - 29.018 pts -
edps
6° lugar - 24.594 pts -
Alberto Federman Neto.
7° lugar - 24.582 pts -
Daniel Lara Souza
8° lugar - 20.272 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 19.321 pts -
Juliao Junior
10° lugar - 18.563 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
Visite também: Dicas-L · Diolinux · SoftwareLivre.org · UnderLinux · Blog do Edivaldo · Sempre Update
