jueves, 10 de diciembre de 2009

Reto Forensics: Ann Skips Bail

De entre la cantidad de cursos que tiene el SANS Institute, uno de ellos, el SEC558 Network Forensics, es el destinado a la realización de Análisis Forense de Red. Además del curso, SANS tiene una web llamada Network Forensics Puzzle Contest en la que de vez en cuando plantea retos forenses.

Por el momento los retos son sencillos de sacar, pero la dificultad radica en que el ganador es aquel que plantea la solución más elegante, generalmente desarrollando alguna pequeña herramienta que le ayude a resolver el reto. Sin embargo, aunque no aspiremos a ganar el reto, es muy útil probar con estos retos sencillos.

Hace unas semanas se publicó en esa misma web el segundo reto, y aquí es donde entramos al trapo... Dice tal que así:

Después de haber sido soltada bajo fianza, Ann Dercover desaparece! Afortunadamente su conexión de red estaba siendo monitorizada antes de que saliera de la ciudad.

"Creemos que Ann se podría haber comunicado con su amante secreto, Mr. X, antes de irse", dijo el jefe de policía. La captura de red puede contener pistas sobre su paradero.

Tú eres el investigador forense. Tu misión es averiguar donde se ha ido Ann y la máxima información posible contenida en la captura de red que pueda ayudar a la investigación.

En el reto original hay una serie de preguntas que hay que contestar, pero no las he puesto porque me parece que dan muchas pistas y lo ponen muy fácil, así que el que quiera puede hacer trampas y mirar la versión original del reto o incluso la solución, pero lo interesante es aprender a hacer el camino necesario para obtener esa información :)

En un par de días pondré mi solución al reto, explicando las herramientas que utilicé y todo el proceso.

17 comentarios :

Nomex dijo...

Muchas gracias por la información. Me he pegado un poco a pelo con el wireshark y he visto algunas cosas. Al final he usado el Network Miner para terminar de obtener todos los datos.

Jose Selvi dijo...

Buena respuesta, yo lo he hecho de otra manera, pero valdría igualmente.

Gracias por el comentario!

sch3m4 dijo...

@Nomex, para trabajar hay que mancharse las manos :P

No sé porqué me da que Selvi y yo lo hemos hecho parecido ;)

Adrián dijo...

Yo también empecé con wireshark y pasé por Network Miner, pero sospecho que es el camino fácil, ¿no, Jose? :P

Jose Selvi dijo...

Bueno, depende, si la captura de red hubiera sido muchísimo más grande hubieras podido coger el Wireshark y mirarlo todo a saco?

Yo creo que vuestra solución también es buena, la mia es... un poco diferente, no más complicada, solo diferente.

Vosotros me direis si os gusta más la vuestra o que, al final con estas cosas lo importante es sacar cuanto mejores resultados mejor en cuanto menos tiempo mejor.

Lo que no estais diciendo es... ¿qué información habeis conseguido de la captura? ;)

Adrián dijo...

No queremos destripar el reto :P Probablemente con algo más grande de captura el wireshark habría supuesto demasiado tiempo, aunque tirar directamente de Network Miner es factible con mayor cantidad de datos.

Yo he recogido las preguntas que plantean y alguna otra información anecdótica como S.O y versión, fechas, cliente de correo y poco más.

A ver si cuelgas tu solución y comparo :)

Jose Selvi dijo...

Pero no sabías que la información que buscas está en un adjunto, podía haber estado en una conversación de MSN, o en una conversación con Skype :P

Cambiemos lo de "la máxima información" posible por "la máxima información posible relevante para averiguar donde se ha ido Ann".

Tramposo! lo de mirar las preguntas da pistas ;P xDD

neofito dijo...

Yo personalmente he probado con pyflag y la verdad que me ha soprendido gratamente :)

Sin embargo estoy seguro que mi forma de dar con las respuestas no ha sido muy "original" que digamos.

Saludos

Anónimo dijo...

Se ha ido a comer fajitas a la playa. Con xplico, andaba un poco vago ;-).

Keyser Soze

Jose Selvi dijo...

@Keyser, coincidimos ;)

De todas maneras, la solución no es única, ni puedes sacar absolutamente toda la info con Xplico. Para eso a esperar al siguiente post, que lamentablemente se no está retrasando por complicaciones laborales varias. Mil perdones :P

Anónimo dijo...

Cierto.

Puedes ver los mails y salvar y abrir el attachment. Todo, menos los hashes md5.

Pero te lleva 3 minutos acceder a la info y el tiempo es oro ;-)

Keyser Soze

neofito dijo...

La verdad es que utilizar xplico no es nada trabajoso pero, al menos en este caso, se obtiene una solucion valida. Y creo que al final lo bueno de todo esto es disponer de alternativas.

Saludos

Jose Selvi dijo...

@Keyser, usar Xplico para mi es una buena solución, pero luego hay alguna cosa que no saca y que tienes que sacar a mano o con otra herramienta.

A ver si puedo poner el nuevo post pronto, pero vamos, es una explicación de como he usado Xplico y luego como he sacado el resto de información, que es algo que por lo que veo se os ha dado bien ;)

@neofito, sin duda es MUY importante disponer de alternativas.

Gracias por los comentarios a los dos. Saludos.

neofito dijo...

@Jose Selvi

¿Tu tambien has utilizado xplico? Aunque en un principio utilice pyflag, xplico me parecio infinitamente mas simple.

Saludos

Jose Selvi dijo...

@neofito, sí, yo he utilizado Xplico, de hecho mi solución es casi igual que la tuya :)

La otra solución que comentas en tu blog también es muy buena, mucho más manual y probablemente más complicada si la captura fuera muy muy grande, pero muy buena.

A ver si la puedo poner mañana, aunque como podrás ver, será prácticamente igual que la tuya ;)

Gracias por los comentarios! Un saludo!

CarP dijo...

En el puzzle de malware de Sans(#5), también es posible responder a casi todas las preguntas gracias al NetworkMiner, dado que puedes obtener los ficheros que se intercambian.

Abriendo el pcap de la fuga de Ann con este programa, qué obtenemos?
Estadísticas por host
Correos intercambiados
Archivos intercambiados
Credenciales
etc...
Luego los magic number y md5 se pueden sacar aparte una vez que ya se tiene esto.

En ambos casos en he probado también Xplico, y ha sacado cosas pero se queda algo corto. Sin embargo networkminer,...es una mina! Hasta en el puzzle #1 saca user y mensajes de AIM :)

Un saludo y gracias por el blog.

Jose Selvi dijo...

@CarP lo reconozco, quise aprovechar el reto para probar Xplico xDDD.

El NetworkMiner, desde luego da también excelentes resultados :)

Gracias a ti por leernos, y por tu comentario.
Un saludo.