Mały network forensic

Na blogu SANS Computer Forensic pojawiło się wyzwanie Network Forensics Puzzle Contest!. Korzystając z okazji pokażę kilka narzędzi, które w takich zadaniach mogą być pomocne.

Co wiemy, czego chcemy się dowiedzieć

Z informacji dostępnych na stronie można po stronie faktów wypisać:

Ustalić należy (skopiowane ze strony):

  1. What is the name of Ann’s IM buddy?
  2. What was the first comment in the captured IM conversation?
  3. What is the name of the file Ann transferred?
  4. What is the magic number of the file you want to extract (first four bytes)?
  5. What was the MD5sum of the file?
  6. What is the secret recipe?

Ogarnąć całość, czyli spojrzenie z lotu ptaka

Dziś natknąłem się na informację o ciekawym programie do wizualizacji ruchu sieciowego NetGrok. Swoją drogą ciekawe, czy program jest jeszcze rozwijany, bo na chwilę obecną ma zarówno spory potencjał (mnie się spodobał), jak i uciążliwe wady.

W celu zapoznania się z sytuacją można załadować udostępniony plik z zapisem ruchu sieciowego do NetGrok i prześledzić połączenia nawiązywane między poszczególnymi hostami. A wygląda to mniej więcej tak:

Jak widać podejrzany komputer (192.168.1.158) nawiązywał połączenia z następującymi adresami IP (no tego to już na tym zrzucie nie widać, ale każdy może sprawdzić we własnym zakresie):

Można się domyślać, że ów “wrogi” laptop to albo 192.168.1.159, albo 192.168.1.100. Zresztą kilka dodatkowych szczegółów można zobaczyć (znów wizualizacja) korzystając z programu Network Miner.

Z tych informacji wynika, że komputer o adresie 192.168.1.10 można raczej wykluczyć, tu miała miejsce komunikacja z wykorzystaniem protokołu NTP. W kręgu podejrzeń (pamięta jeszcze ktoś to określenie rodem z IV RP?) pozostają więc adresy 192.168.1.159 oraz 64.12.24.50.

Był las, pora na drzewa

Tym razem do akcji wkracza Wireshark. Skoro już wiemy jak mniej więcej wygląda sytuacja, można szukać szczegółów. Przyjrzeć się można dwóm konwersacjom, czyli:

192.168.1.158 – 64.12.24.50

Okazuje się, że w dostępnym zrzucie między tymi adresami ma miejsce tylko jedna konwersacja. Można przypuszczać, że się niewiele z niej dowiemy, port 443 kojarzy się jednoznacznie z SSL. A tu niespodzianka:

Na podstawie tego zrzutu można już odpowiedzieć na kilka postawionych pytań. W szczególności dowiadujemy się, że plik nosi nazwę recipe.docx. Istotne jest tu zwłaszcza rozszerzenie pliku, czyli docx. A istotne jest choćby po to, by znaleźć odpowiedź na pytanie 4, którą dostarczają niezawodne pokłady internetu: FILE SIGNATURES TABLE (patrz też: Word Document (DOCX)). Magiczne numerki w tym wypadku to 50 4b 03 04.

192.168.1.158 – 192.168.1.159

Również w tym przypadku miejsce miała tylko jedna konwersacja TCP. Połączenie nawiązał komputer 192.168.1.159, jednak to 192.168.1.158 wysłał więcej danych. I w tej części konwersacji można znaleźć poniższe:

Pozostaje tylko “wyjąć” plik ze strumienia danych i popatrzeć do jego środka. Prawdopodobnie można to zrobić w sposób bardziej elegancki ale idąc po najmniejszej linii oporu można po prostu zrzucić dane przesyłane w strumieniu (te widoczne na powyższym obrazku) i ręcznie wyciąć “preambułę” i ewentualną nadmiarową końcówkę. Wszystko po to, by poczytać o wlewaniu słodkiej wody do baku.

I podsumowanie

To tak w ramach szybkiej demonstracji narzędzi. Całej sprawie należałoby się przyglądnąć dokładniej. Między innymi:

Swoją drogą, to zastanawiam się, czy na podstawie adresu MAC komputera 192.168.1.159 można ustalić, czy rzeczywiście wykorzystana była sieć WiFi. Za pomocą OUI Lookup Tool można ustalić producenta karty sieciowej, ale w tym przypadku nie daje to jednoznacznej odpowiedzi na pytanie, czy jest to WiFi. Można też wyszukiwać 00:21:70 w internecie i sprawdzać, czy mowa o karcie przewodowej, czy bezprzewodowej. Kilka szybkich trafień pokazuje, że może to być jednak “normalna” karta przewodowa. Ktoś rozstrzygnie tę nurtującą kwestię? :)

Oryginał tego wpisu dostępny jest pod adresem Mały network forensic

Autor: Paweł Goleń