ProtegeTuOrdenador.com

  • Aumentar fuente
  • Fuente predeterminada
  • Disminuir fuente
Inicio Blog
Nuestro Blog

Segundo desafío

Viernes, 03 de Septiembre de 2010 15:10 Juan José

segundo desafíoAsí es, esta entrada es para el segundo desafío (continuación del anterior, al menos en la historia xD). La facultad y la pasantía ciertamente me están desgastando el cuerpo, hoy me dormí un par de veces en la clase de inteligencia artificial, pero debo admitir que el profesor no ayudaba xD. Pero esto no es un diario xD, así que a lo que nos truje.
El segundo desafío es: http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail . Esta vez nos encontramos con un desafío un tanto mas interesante y un archivo de capturas un poco mas grande también.
Una vez comprendida bien las preguntas me dispuse a abrir el archivo de captura para buscar las respuesta, claramente usando wireshark :P.

RESPONDIENDO LAS PREGUNTAS:

1-Viendo un poco la captura encontramos en el paquete número 53 el inicio de una conexión tcp al puerto 587, que no es el puerto estandard de los servidores de correo (25), pero si seguimos la conexión queda en evidencia de que se trata de una conexión a un servidor de correo.


En la imagen se ve prácticamente toda la conexión con el servidor de correo y como se trata de stmp básico vemos todo en texto claro nada de cifrado.
Desde esta imagen podemos responder varias preguntas, vemos que el mail de la señorita "Ann Dercover" es " Esta dirección electrónica esta protegida contra spam bots. Necesita activar JavaScript para visualizarla ".

2-Los dos puntos negros en la imagen anterior marcan la autenticación llevada a cabo, parece texto sin sentido, esto se debe a que el nombre del usuario (primero punto) y el password (segundo punto) están codificados en Base64 (para mas información http://es.wikipedia.org/wiki/Base64). Ahora pasemos a decodificar (nótese la diferencia entre codificar y cifrar, son cosas totálmente diferentes, base64 es un tipo de codificación no de cifrado).
Para decodificar los campos los extraemos manualmente y los decodificamos con el programa base64 de la siguiente manera:
Primero metemos las cuatro cadenas codificadas dentro de un archivo de texto para automatizar un poco todo (no se justifica para tan pocos datos codificados, pero buee), y luego procesamos una a una cada linea del archivo de la siguiente manera:


Y magia xD, el usuario de Ann Dercover es el que indicamos anteriormente y su password es "558r00lz".

3-En primer momento creí que la respuesta a esta pregunta también se podría sacar de la primer imagen, y me arriesgué a creer que el mail del señor X es " Esta dirección electrónica esta protegida contra spam bots. Necesita activar JavaScript para visualizarla ". Pero no!, viendo la pregunta 4 me encontré con un segundo mail enviado por Ann, comenzando en el paquete 153. Esta vez el mail va dirigido a una dirección un tanto sospechosa xD " Esta dirección electrónica esta protegida contra spam bots. Necesita activar JavaScript para visualizarla ", la cual sin lugar a dudas es la dirección del señor X.

4-En este segundo mail Ann escribe al señor X:


Ann pide al señor X que traiga su pasaporte falso y traje de baño :P.

5-Parte del texto del mail de Ann nos indica que la dirección de encuentro está adjunta al correo electrónico. Vemos que de hecho hay un archivo adjunto, con el nombre "secretrendezvous.docx", codificado en "base64".


6- Bien, esta parte es mas divertida, ahora hay que extraer el archivo codificado en base64, decodificarlo y calcular su hash md5.
Copiamos toda la parte codificada en base64 en un archivo, lo copié directamente desde wireshark seleccionando toda la parte codificada. Una vez listo el archivo lo decodificamos de la siguiente forma:


La opción "i" indica a base64 que ignore los caracteres no válidos que encuentre, sin la opción activada nos informará que se encontraron caracteres inválidos, por la forma en que los paquetes llegaron y como los muestra wireshark. Una vez que tenemos el archivo nos fijamos su estructura y file nos informa correctamente el tipo de archivo según su magic number. Con md5sum calculamos el Checksum del archivo en cuestión "9e423e11db88f01bbff81172839e1923  secretrendezvous.docx".

7-Ahora, una vez mas, por no tener Microsoft Office y porque mi OpenOffice no es demasiado amigable con los .docx abro el archivo desde google:


El punto de encuentro se indica en la imagen, Avenida Constituyentes 1 Calle 10 x la 5ta Avenida, Playa del carmen México.

8-Descargamos la imagen ( Botón derecho guardar imagen, god bless google!) y vemos que se trata de un png, luego calculamos su checksum.


Y ahí quedan todas las preguntas respondidas :D.

Bueno, ahora voy a cumplir con mi cuerpo y me voy a dormir xD.

Juan José escribe en viviendolared.blogspot.com y colabora con protegetuordenador.com

Escribir comentario (0 Comentarios)
 

Primer desafío

Lunes, 30 de Agosto de 2010 11:00 Juan José

Primer desafíoBueno, como comenté en una de las entradas anteriores, cada vez que tenga un poco de tiempo libre (y me acuerde del blog xD) voy a intentar hacer desafíos de esos que dan vueltas por internet. La idea es empezar con los simples e ir subiendo un poco la dificultad y ver hasta donde puedo llegar xD. Principalmente buscaré desafíos de tipo forenses, al menos por ahora es lo que mas me interesa.
Para empezar elegí (http://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim) este primer caso. La introducción está en inglés, y no pienso traducirla D... aprender inglés es muy importante, al menos en este rubro.

El desafío consiste básicamente en analizar una captura de tráfico de una LAN y responder las siguientes preguntas que se plantean.

Para poder ver el tráfico de manera legible utilizamos Wireshark, y nos encontramos con unos 240 paquetes, que van de consultas DNS, actualizaciones NTP, paquetes ARP hasta conexiones http ssl tls, etc etc.

Reconocimiento de la red:
Desde la captura obtenida encontramos al menos 6 ordenadores en la red 192.168.1.0/24. Tenemos pcs en las direcciones 10,30,2,157,158,159 (último octeto de la IP real). Un servidor DNS en 10.1.1.20, un gateway y servidor NTP en 192.168.1.10, y un aparente servidor web en 192.168.1.157. Además encontramos algunas IPs públicas de servicios de mensajería instantánea AOL.

La primer secuencia de paquetes interesantes para este caso es la que tiene como origen 192.168.1.158 (pc de anna xD) y destino 64.12.24.50. En esta conexión podemos ver la conversación que mantiene Anna con el chico malo. El chico malo (192.168.1.159) está utilizando un cliente de mensajería que cifra la conversación, no así anna, por eso podemos ver la conversación en gran parte.


Bien, ahora podemos responder la primer pregunta.
1-El amigo malvado de anna se hace llamar "Sec558user1".
2-El primer comentario registrado fue escrito por anna y dice "Here's the secret recipe... I just downloaded it...".
3-También observamos el nombre de un archivo potencialmente de texto "recipe.docx", una vez que el destinatario acepta la transferencia del archivo, se abre una conexión punto a punto entre las dos pcs 192.168.1.158 <-> 192.168.1.159.
4-Buscando un poco por internet se pueden encontrar sitios que listan magic numbers (http://www.garykessler.net/library/file_sigs.html) para distintos tipos de archivos. El magic number que señala archivos de tipo docx es "50 4B 03 04", que si, es exáctamente igual al de archivos de tipo zip.
5-Este punto resultó ser bastante mas complicado que los anteriores xD.
La siguiente imagen es la captura de la conexión TCP que se abre para transferir el archivo recipe.docx. Los puntos rojos señalan los paquetes que traen carga efectiva (partes del archivo).


Desde otro punto de vista vemos:


"PK" es la traducción ASCII de "50 4B", es decir, a partir de allí existe nuestro archivo. Si pasamos el volcado a Hexa es mas claro:


Ahora viene el trabajo pesado. Como el archivo no es tan grande como para que sea necesario automatizar el proceso, lo hice manualmente. De cada uno de los paquetes marcados con rojo en la imagen de la conexión TCP extraje los bytes de carga, de la siguiente manera: seleccionamos el paquete, vamos a la zona de datos y exportamos los bytes del paquete.


Exportamos uno a uno los 10 paquetes, en mi caso les asigné como nombre las primeras 10 letras del abecedario, es decir a,b,c,d,e,f,g,h,i, y j. Ahora tenemos nuestro documento de texto partido en 10 pedazos xD, poco útil cierto? jajaj. Haciendo uso de una de las maravillas de la ingeniería unimos estos 10 archivos en uno solo, de la siguiente manera:

juan@moon:~/ForensicTests/puzzle1-forensicscontest/Solucion$ cat a b c d e f g h i j > recipe.docx
juan@moon:~/ForensicTests/puzzle1-forensicscontest/Solucion$ md5sum recipe.docx 8350582774e1d4dbe1d61d64c89e0ea1 recipe.docx
juan@moon:~/ForensicTests/puzzle1-forensicscontest/Solucion$ file recipe.docx
recipe.docx: Zip archive data, at least v2.0 to extract

Si!, cat es la maravilla de la ingeniería xD. Unidos los 10 archivos calculamos su Checksum y de paso vemos como file lo detecta correctamente como un archivo tipo ZIP. Y ya tenemos el punto 5.

6-Si el punto 5 está bien hecho este es trivial, claro si tenés office instalado!!! :P, pero como no lo tengo recurrimos a GoogleDocs :D y leemos la receta secreta!!!


Y aca concluye el primer desafío. Anna realmente fue parte de una fuga de información y debería ser sancionada como corresponda :P. Sec558user1 se salió con la suya, obtuvo la codiciosa receta secreta y debe estar vendiéndola en ebay xD.

Juan José escribe en viviendolared.blogspot.com y colabora con protegetuordenador.com

Escribir comentario (0 Comentarios)
 

Recién salido del horno "Que absurdo.‏"

Jueves, 26 de Agosto de 2010 18:00 Juan José

Recien salido del horno "Que absurdo.‏" Aca traigo una novedad de esas que me llegan por mail xD. Esta vez de un contacto diferente, y con el siguiente texto:


Todos los enlaces de las supuestas fotos apuntan a http://mulhersubita.100webspace.ne t/ que nos redirije a un sito chino, específicamente a http://www.cwts.com.cn/en/area/taiwan/Downloads_E.z ip . Una vez descargado este archivo comprimido quien no se sentiría tentado de ver unas fotos... En fín, dicho zip contiene un ejecutable, que a este momento es detectado por 4 de los 42 Antivirus que utiliza Virus total, es decir, es muy muy nuevo evidentemente. Enlace de mi reporte en virus total: http://www.virustotal.com/file-scan/report.html?id=77df88abc1a50a6d1b2b283388e1d1561f91e2b78becb870d1555d3b57cfbffb-1282783946 .

Una vez prepara la vm nueva voy a probar qué hace este nuevo bichito :D.
...
...
5 minutos después... una gran decepción, por algún motivo obtengo esto:

process: created C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Downloads_E.exe
process: terminated C:\WINDOWS\explorer.exe -> C:\Documents and Settings\Administrador\Escritorio\Downloads_E.exe

Es decir, el proceso se crea y muere inmediatamente... es probable que el entorno donde lo intento ejecutar no le sea propicio (Windows XP SP3).

Aca el reporte de anubis: http://anubis.iseclab.org/?action=result&task_id=13f3d7a196e03ed6459da776ce3d9e114&format=pdf .

Las actividades que registró anubis yo no las observé en mi entorno de pruebas, para esto debe haber una explicación, mis conjeturas son:
-Anubis realiza las pruebas sobre otro sistema operativo distinto del mio.
-Mi programa de logging de actividades CaptureBAT no registra las actividades de este Malware, posiblemente sea mas avanzado que los demás.

Hasta el momento no registré actividad de red extraña desde la VM infectada, lo que me llama poderosamente la atención. No pude avisar a los administradores del sitio chino porque... no encontré un mail de contacto xD. El sitio tiene mucho código en php en malas condiciones y vulnerable, seguramente por ahí fue que lograron colarse los chicos malos.

En los próximos días tengo planeado hacer unos ejercicios de informática forense que iré juntando por la web, es una rama de la informática muy interesante. La idea es intentar resolverlos y subir los resultados al blog, como para variar un poco.

Juan José escribe en viviendolared.blogspot.com y colabora con protegetuordenador.com

Escribir comentario (0 Comentarios)
 
Más artículos...


Página 1 de 9
Google
Web
protegetuordenador.com

Menú principal

Acceso

Alertas Asociacion Internautas