Desafio: Análise Forense Computacional - Forense em Tráfego de Rede [Resolvido]

brunosalgado

O desafio a seguir, na área de Análise Forense Computacional, consiste em uma análise forense em tráfego de rede, onde temos uma série de perguntas relacionadas a um arquivo a ser entregue neste mesmo desafio. Bom trabalho, excelente estudo e boa sorte no desafio!

[ Hits: 18.801 ]

Por: Bruno Salgado em 20/11/2012 | Blog: http://www.seginfo.com.br

0 0

Denuncie Favoritos Indicar Impressora

Solução / Gabarito do desafio

Segue a solução/gabarito do exercício proposto na página anterior.

Link da imagem:

http://www.seginfo.com.br/wordpress/wp-content/uploads/2012/01/DesafioEsteg.jpg

0. Após baixar a imagem acima, vamos conferir a sua MD5 para confirmar que não houve nenhuma falha na transmissão:

md5sum DesafioEsteg.jpg

a5d78511149bcf68afddd82a1ed6db29 DesafioEsteg.jpg

1. Com a imagem em mãos, vamos analisar o tipo do arquivo:

file DesafioEsteg.jpg

DesafioEsteg.jpg: JPEG image data, JFIF standard 1.02

2. Vamos verificar se, por acaso, não existem strings escondidas na imagem, antes de tentar usar um programa:

strings DesafioEsteg.jpg

0101011001010111010110100011001101011010011011010110011001000100011100010101100
0010011100011010001001001010010000101011000110000011001000111100101000010001100
1101100001011011100110100000110000011000110101011101000110011100010110010001111
0010100001000110000010010010100011101101100011100010110010101000111010110100111
0010011000100110111001010001011001110110000101010111010110010110011101010011010
0100001000110011011010101100101010111001101010011010001001001010001100110100001
1100010110001001001000011100000011001101011010011011100101000001000100011100000
0110010010110010110011101100001010101110101100101100111010101000110111001001110
0111001001100100010010000110010001111001010110100111001101001111011011100111011
1001101100100111000110000010011000110100101000010010010010110010001001000010011
1001110100011000010111001101001111011011100101101001101001010000100111101001100
1000100100001101000001101000101101001101001010000100100110001100100010010000110
0100011110010101101001110011010011110110111001110111001101100100111000110000010
0100101000111011011000111000101001001010001010101101000110110011000010101011100
1101010011010101100100010010000110001101100111011000010110111001001001011001110
1010111010101110111000000110100011001010101011101101111011001110110000101010111
0110111101100111010101000110111001001110011010000101101001101110011010100100010
0011011110011001101010001011001110110000101101110010010010110011101100010010110
0001101100001101010110010001010100011011110111011001001100001100100100101001101
0010101100101101001001101010110111001100011010110000101001001110011010011000110
1101011010000111100001011010011011010100011001110101011001010100001100110101011
0111101100100010010000100100101110101010110100011001101100011011101100110000100
1100110101001000110011011000110110110101011010011011110101101001101110010100010
1110100011000010101011101101111011101000100111001111010011001110111010001100010
0101100001010010001100110101101001101110011001110111010001011010011011100111000
0011100000110001001101110011011000011000001100100011110010011000101110001011000
1101101001001100010011010101100001011011100110100000110101011000010110100100110
0010111000001100001011010010011000101110101011000110011001001000110011011010110
0101010001110101101000110000010011000101011101011010011011110101101001101101011
0110001110001011000110110110100110101011011010100110001010111011010000111100001
0110100110110101000110011101010110010101000011001100010011010001100001011011010
1111000001101100110010000110010010110100111101001100001010001110101100101110100
0110000101010111010110010111010001100010011011100100111001110010011001000100100
0011001000111100101011010011011010110100001101101011001000100000101101111001111
01

3. Como a mensagem está em binário, precisamos convertê-la para ASCII. Para isso você pode usar o Binary to Text (ASCII) Conversion.

* Questão bônus: Como fazer isso sem sair do shell?

VWZ3ZmfDqXN4IHV0dyB3anh0cWFqdyB0IGlqeGZrbnQgaWYgSHFmYW54IFhqbHp3ZnPDp2Yga
WYgTnNrdHdyZsOnw6N0LiBIdHNtasOnZiBzdHh4ZiBLdHdyZsOnw6N0IGlqIEZ6aW55dHcganIgWWp4
eWogaWogTnNhZnjDo3QganIgbXl5dTovL2JiYi5ncXRsLmhxZmFueC5odHIuZ3cva3R3cmZoZnQtaWo
tNzgtbXR3ZngtZnppbnl0dy1qci15anh5ai1pai1uc2FmeGZ0LWZoZmlqcm5mLWhxZmFueC14amx6d2
ZzaGYtaWYtbnNrdHdyZmhmdAo=

4. Agora, decodificamos a mensagem de base64:

echo "VWZ3ZmfDqXN4IHV0dyB3anh0cWFqdyB0IGlqeGZrbnQgaWYgSHFmYW54IFhqbHp3ZnPD
p2YgaWYgTnNrdHdyZsOnw6N0LiBIdHNtasOnZiBzdHh4ZiBLdHdyZsOnw6N0IGlqIEZ6aW55dHcganI
gWWp4eWogaWogTnNhZnjDo3QganIgbXl5dTovL2JiYi5ncXRsLmhxZmFueC5odHIuZ3cva3R3cmZoZn
QtaWotNzgtbXR3ZngtZnppbnl0dy1qci15anh5ai1pai1uc2FmeGZ0LWZoZmlqcm5mLWhxZmFueC14a
mx6d2ZzaGYtaWYtbnNrdHdyZmhmdAo=" | base64 -d

Ufwfgésx utw wjxtqajw t ijxfknt if Hqfanx Xjlzwfsçf if Nsktwrfçãt. Htsmjçf
stxxf Ktwrfçãt ij Fzinytw jr Yjxyj ij Nsafxãt jr myyu://bbb.gqtl.hqfanx.htr.
gw/ktwrfhft-ij-78-mtwfx-fzinytw-jr-yjxyj-ij-nsafxft-fhfijrnf-hqfanx-xjlzwfshf- if-nsktwrfhft

5. Por fim, seguindo a dica da foto (salada caesar), vemos que o texto está cifrado usando a Cifra de Caesar, com chave de deslocamento de valor 5.

Para cada letra (exceto as acentuadas), substitua pela quinta letra anterior (valor ASCII menos 5). Você pode usar o cipher.py para ler a mensagem:

" Parabéns por resolver o desafio da Clavis Segurança da Informação. Conheça nossa Formação de Auditor em Teste de Invasão em http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao "

Até o próximo desafio! 8-)

Página anterior

Páginas do artigo

1. Descrição do desafio
2. Solução / Gabarito do desafio

Outros artigos deste autor

Utilizando o Nmap Scripting Engine (NSE)

Auditorias Teste de Invasão para Proteção de Redes Corporativas

Trilhas de Certificação em Segurança da Informação - Qual caminho seguir?

Leitura recomendada

Implementação de WAF mod_security e integração com Graylog utilizando Filebeat e Logstash

Proxy reverso e balanceamento de carga utilizando o Pound

Armitage: a nova interface gráfica do Metasploit

Elastic SIEM - Instalação e Configuração do LAB (Parte I)

Intrusão simples com Metasploit

Comentários

[1] Comentário enviado por brunosf em 08/11/2012 - 00:05h

Acho que é isso:
Páh

Você é um perito e seu objetivo é descobrir como Rafael fez isso!

Perguntas:

Qual nick Rafael utilizou para se passar pelo neto de Filipe?
Guylherme Portão (guy.portao@hotmail.com)
Qual foi o primeiro comentário na conversa entre os dois?
Olá vovô, estou com muita saudade do senhor e de seus pães deliciosos..

Qual o nome do arquivo que foi transferido durante a conversa?
ab.pdb
O que aconteceu após a transmissão de tal arquivo?

Foi enviado um backdoor que abriu uma cnexão reversa com o atacante (172.31.31.148)na porta 4444 (possível backdoor gerado pelo metasploit framework_) o payload utilizado rodou o interpretador de comandos da máquina de filipe com os plivilégio do usuário filipe

Onde Rafael encontrou o arquivo que contém a receita secreta?
C:\Receitas\Secretas>

Qual é a receita secreta?
* Ingredientes

. quilo de farinha de trigo
15 g de fermento para p.o
15 g de sal
20 g de a..car
1 colher (sopa) se margarina
Acompanhe as novas receitas no Twitter
Conhe.a a nossa p.gina no Facebook

* Modo de preparo

Dilua o fermento em um copo de .gua morna com o a..car.
Misture os outros ingredientes.
Amassa e levante, empurrando a massa para frente, com a palma da m.o e dobrando-a sobre si mesma.
Se for necess.rio, coloque mais .gua e mais farinha.
A massa n.o dever. grudar nas m.os.
Deve ficar com aspecto leve e esponjoso.
Deixe descansar por duas horas.
A seguir, amasse novamente e prepare o p.o, dando-lhe o formato desejado e coloque no tabuleiro untado.
Se estiver pegajosa, espalhe mais farinha por cima.
Deixe que ela descanse mais uma hora.
Aque.a o forno e pincele o p.o com .gua antes de coloc.-lo no forno.
Assar por 40 minutos mais ou menos.

Rendimento: 20 por..es
Tempo: 150 minutos

0 0

[2] Comentário enviado por sk4d1nh4 em 13/11/2012 - 23:36h

E ae Brunosf. Beleza?

Encontrei as mesmas respostas, mas tenho uma dúvida.
E o arquivo simulador-padaria.exe que estava na área de trabalho do user Filipe? O que seria ele? Fiquei na duvida se não foi ele o transferido...

Abraços!

0 0

[3] Comentário enviado por danielcrvg em 19/11/2012 - 16:49h

eae bruno blz??

eu travei na parte do nome do arquivo, eu ate consigo identificar quando comeca a transferir mas eu nao consegui acha o nome e assim nao pude prossegui, pode me ajudar?

eu tambem nao consegui entender pra que eu vou utilizar aquele md5 la..

obrigado,

Daniel

0 0

[4] Comentário enviado por brunosalgado em 19/11/2012 - 20:58h

[1] Comentário enviado por brunosf em 08/11/2012 - 00:05h:

Acho que é isso:
Páh

Você é um perito e seu objetivo é descobrir como Rafael fez isso!

Perguntas:

Qual nick Rafael utilizou para se passar pelo neto de Filipe?
Guylherme Portão (guy.portao@hotmail.com)
Qual foi o primeiro comentário na conversa entre os dois?
Olá vovô, estou com muita saudade do senhor e de seus pães deliciosos..

Qual o nome do arquivo que foi transferido durante a conversa?
ab.pdb
O que aconteceu após a transmissão de tal arquivo?

Foi enviado um backdoor que abriu uma cnexão reversa com o atacante (172.31.31.148)na porta 4444 (possível backdoor gerado pelo metasploit framework_) o payload utilizado rodou o interpretador de comandos da máquina de filipe com os plivilégio do usuário filipe

Onde Rafael encontrou o arquivo que contém a receita secreta?
C:\Receitas\Secretas>

Qual é a receita secreta?
* Ingredientes

. quilo de farinha de trigo
15 g de fermento para p.o
15 g de sal
20 g de a..car
1 colher (sopa) se margarina
Acompanhe as novas receitas no Twitter
Conhe.a a nossa p.gina no Facebook

* Modo de preparo

Dilua o fermento em um copo de .gua morna com o a..car.
Misture os outros ingredientes.
Amassa e levante, empurrando a massa para frente, com a palma da m.o e dobrando-a sobre si mesma.
Se for necess.rio, coloque mais .gua e mais farinha.
A massa n.o dever. grudar nas m.os.
Deve ficar com aspecto leve e esponjoso.
Deixe descansar por duas horas.
A seguir, amasse novamente e prepare o p.o, dando-lhe o formato desejado e coloque no tabuleiro untado.
Se estiver pegajosa, espalhe mais farinha por cima.
Deixe que ela descanse mais uma hora.
Aque.a o forno e pincele o p.o com .gua antes de coloc.-lo no forno.
Assar por 40 minutos mais ou menos.

Rendimento: 20 por..es
Tempo: 150 minutos

Olá Bruno!

Vou divulgar o gabarito aqui no Viva o Linux nos próximos dias, ok? =]

0 0

[5] Comentário enviado por brunosalgado em 19/11/2012 - 21:00h

[2] Comentário enviado por sk4d1nh4 em 13/11/2012 - 23:36h:

E ae Brunosf. Beleza?

Encontrei as mesmas respostas, mas tenho uma dúvida.
E o arquivo simulador-padaria.exe que estava na área de trabalho do user Filipe? O que seria ele? Fiquei na duvida se não foi ele o transferido...

Abraços!

Olá Allan!

O arquivo simulador-padaria.exe é justamente o arquivo responsável pelo backdoor criado para a máquina do Felipe. Com a execução deste arquivo é que foi liberado o acesso remoto à máquina do Felipe. Este foi o arquivo transferido durante a conversa :)

Um grande abraço!

0 0

[6] Comentário enviado por brunosalgado em 19/11/2012 - 21:02h

[3] Comentário enviado por danielcrvg em 19/11/2012 - 16:49h:

eae bruno blz??

eu travei na parte do nome do arquivo, eu ate consigo identificar quando comeca a transferir mas eu nao consegui acha o nome e assim nao pude prossegui, pode me ajudar?

eu tambem nao consegui entender pra que eu vou utilizar aquele md5 la..

obrigado,

Daniel

Olá Daniel!

O md5 possui a finalidade de verificação de integridade do arquivo, nesse caso para saber se o download do arquivo foi feito com sucesso ou não.

Como já foi identificado o momento em que se inicia a transferência, para saber o nome do arquivo você deverá obter a mensagem transferida, que está codificada, descobrir a codificação da mesma e decodificá-la. No início da mensagem está o nome do arquivo. Bons estudos! 8-)

0 0

[7] Comentário enviado por danielcrvg em 20/11/2012 - 18:18h

Obrigado pelas respostas, eu achei que eu ia ter que utilizar aquele md5 pra quebrar as mensagens...

ainda nao consegui passar daquele ponto, nao tenho nem ideia de como decifrar isso....

confesso que sou um pouco leigo neste assunto mais aprofundado, voce me recomenda alguma leitura ou video relacionado a esta area de analise de trafego de pacotes criptografados???

eu ja vi estes videos que vc recomendou e me ajudaram bastante..

obrigado,

Daniel

0 0