לפני מספר שבועות פרסמנו כאן את האתגר הראשון לשנת 2010 של הפרוייקט Honeynet. מי שלא זוכר, באתגר הראשון שפורסם (pcap attack trace) היה קובץ pcap עם תעוד של תעבורת הרשת בזמן המתקפה שבוצעה על ה-Honetpot.

האתגר היה לנתח את ה-pcap בשלל הכלים החינמים הקיימים ברשת ולענות על השאלות הבאות:

  • Which systems (i.e. IP addresses) are involved?
  • What can you find out about the attacking host (e.g., where is it located)?
  • How many TCP sessions are contained in the dump file?
  • How long did it take to perform the attack?
  • Which operating system was targeted by the attack? And which service? Which vulnerability?
  • Can you sketch an overview of the general actions performed by the attacker?
  • What specific vulnerability was attacked?
  • What actions does the shellcode perform? Pls list the shellcode.
  • Do you think a Honeypot was used to pose as a vulnerable victim? Why?
  • Was there malware involved? Whats the name of the malware? (We are not looking for a detailed malware analysis for this challenge)
  • Do you think this is a manual or an automated attack? Why?

האתגר הראשון נסגר ולפי דבריו של כריסטיאן זייפרט נשלחו כ-91 פתרונות! באתר גם פורסם הפתרון שזכה במקום הראשון. הפתרון לא רק כולל את תוצאות הניתוח, אלה גם את הדרך בה הגיעו אליהם- באיזה כלים השתמשו, למה דווקא בהם וכו’ - מומלץ מאוד לקרוא וללמוד!

מסתבר שקובץ ה-pcap כלל מתקפה שנעשת ע”י התולעת אחת התולעים ממשפחת Win32/Rbot. מהלך המתקפה היה:

  • ניצול פרצת ה-MS04-11 (אקספלויט לפרצה נכתב עוד באמצע 2004) ודרכה לבצע Remote Code Execution.
  • ביצוע Brute-Force ל-$IPC.
  • התחברות לשרת FTP, הורדת קובץ SMSS.EXE והרצתו.
  • כאן נגמרת המתקפה, המחשב הנגוע מאזין לשרת IRC, מחכה לפקודות ומתפקד כזומבי לכל דבר.

אני הייתי קרוב מאוד! :)

אתמול החבר’ה מ-Honeynet פרסמו את האתגר השני והוא אפילו נשמע מעניין יותר! שמו של האתגר הוא “Browsers under attack” והוא כולל קובץ pcap המכיל גם הוא ניתוח של תעבורת הרשת בזמן מתקפה- כנראה מתקפה המנצלת חולשה באחד מהדפדפנים (ניחוש שלי משמו של אתגר - עוד לא בדקתי).

השאלות לאתגר זה הן:

  • List the protocols found in the capture. What protocol do you think the attack is/are based on?
  • List IPs, hosts names / domain names. What can you tell about it - extrapolate? What to deduce from the setup? Does it look like real situations?
  • List all the web pages. List those visited containing suspect and possibly malicious javascript and who's is connecting to it? Briefly describe the nature of the malicious web pages
  • Can you sketch an overview of the general actions performed by the attacker?
  • What steps are taken to slow the analysis down?
  • Provide the javascripts from the pages identified in the previous question. Decode/deobfuscate them too.
  • On the malicious URLs at what do you think the variable 's' refers to? List the differences.
  • Which operating system was targeted by the attacks? Which software? And which vulnerabilities? Could the attacks been prevented?
  • What actions does the shellcodes perform? Please list the shellcodes (+md5 of the binaries). What's the difference between them?
  • Was there malware involved? What is the purpose of the malware(s)? (We are not looking for a detailed malware analysis for this challenge)

בהצלחה לכל מי שמשתתף! יכול להיות שאחד הפוסטים הקרובים יהיה ניתוח שלי על המתקפה.