Network Forensics PuzzleContest #2 を解析してみた    村地 彰 aka hebikuzure
Puzzle #2: Ann skips bail• 出題  http://forensicscontest.com/2009/10/10/  puzzle-2-ann-skips-bail• 対象ファイル  http://forensicsc...
前回は…..• NetworkMinor に喰わせてみたら全部一  発で答えが出てしまったので• 今回は地道に作業します
まず Ann の IP アドレスを調べる• Wireshark で開く• [Statistics] – [Conversations]• IPv4 セッションは 6 つ  – 192.168.1.10, 192.168.1.30, 192.16...
192.168.1.159 が目的のアドレス
フィルタする• [Conversations] のウィンドウで会話を右  クリック• [Apply as Filter] – [Selected] – [A⇔B]
TCP ストリームを見る
ここまででわかる事• Ann の IP アドレスは 192.168.1.159• smtp.cs.com の Submission ポートに接続  して SMTP サーバーに AUTH LOGIN で  ログインしている• メール アドレスは ...
ユーザー名とパスワード• いずれも BASE64 エンコードされている• ユーザー名  c25lYWt5ZzMza0Bhb2wuY29t• パスワード  NTU4cjAwbHo=• デコードして  ユーザー名 : sneakyg33k@aol....
メールの内容は?• Sorry-- I cant do lunch next week after all.  Heading out of town. =  Another time! –Ann• 特に秘密の内容ではなさそう…………
もう一つのストリームも見る
こちらが本命か?• 送信先 : mistersecretx@aol.com• 本文  Hi sweetheart! Bring your fake passport  and a bathing suit. Address =  attache...
添付ファイルがあるぞ
添付ファイル• ファイル名 : secretrendezvous.docx          (秘密の逢引)• コンテンツは BASE64 エンコード
添付ファイルを取り出す• BASE64 デコード ツールを使う – http://www.rbl.jp/base64.php – http://www.webutils.pl/index.php?idx=bas   e64• メール メッセージ...
取り出したファイルを確認
ファイルの MD5 を計算• secretrendezvous.docx  9e423e11db88f01bbff81172839e1923• image1.png  aadeace50997b1ba24b09ac2ef1940b7
さて、NetworkMiner では…
NetworkMiner の勝ちでした• メール メッセージ• メール資格情報(ユーザー名とパスワード)• 添付ファイル• 全部自動抽出してくれました• 後はMD5 を計算するだけ……
Upcoming SlideShare
Loading in …5
×

Network Forensics Puzzle Contest に挑戦 #2

2,936 views

Published on

第9回「ネットワーク パケットを読む会(仮)」の発表スライド

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,936
On SlideShare
0
From Embeds
0
Number of Embeds
12
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Network Forensics Puzzle Contest に挑戦 #2

  1. 1. Network Forensics PuzzleContest #2 を解析してみた 村地 彰 aka hebikuzure
  2. 2. Puzzle #2: Ann skips bail• 出題 http://forensicscontest.com/2009/10/10/ puzzle-2-ann-skips-bail• 対象ファイル http://forensicscontest.com/contest02/ev idence02.pcap
  3. 3. 前回は…..• NetworkMinor に喰わせてみたら全部一 発で答えが出てしまったので• 今回は地道に作業します
  4. 4. まず Ann の IP アドレスを調べる• Wireshark で開く• [Statistics] – [Conversations]• IPv4 セッションは 6 つ – 192.168.1.10, 192.168.1.30, 192.168.1.159, 10.1.1. 20, smtp.cs.com (64.12.102.142)• TCP セッションは 2 つ – いずれも 192.168.1.159 と smtp.cs.com
  5. 5. 192.168.1.159 が目的のアドレス
  6. 6. フィルタする• [Conversations] のウィンドウで会話を右 クリック• [Apply as Filter] – [Selected] – [A⇔B]
  7. 7. TCP ストリームを見る
  8. 8. ここまででわかる事• Ann の IP アドレスは 192.168.1.159• smtp.cs.com の Submission ポートに接続 して SMTP サーバーに AUTH LOGIN で ログインしている• メール アドレスは sneakyg33k@aol.com らしい• 送信先は sec558@gmail.com
  9. 9. ユーザー名とパスワード• いずれも BASE64 エンコードされている• ユーザー名 c25lYWt5ZzMza0Bhb2wuY29t• パスワード NTU4cjAwbHo=• デコードして ユーザー名 : sneakyg33k@aol.com パスワード : 558r00lz
  10. 10. メールの内容は?• Sorry-- I cant do lunch next week after all. Heading out of town. = Another time! –Ann• 特に秘密の内容ではなさそう…………
  11. 11. もう一つのストリームも見る
  12. 12. こちらが本命か?• 送信先 : mistersecretx@aol.com• 本文 Hi sweetheart! Bring your fake passport and a bathing suit. Address = attached. love, Ann• 偽造パスポートと水着を持参してね、っ てことですか(ー_ー)!!
  13. 13. 添付ファイルがあるぞ
  14. 14. 添付ファイル• ファイル名 : secretrendezvous.docx (秘密の逢引)• コンテンツは BASE64 エンコード
  15. 15. 添付ファイルを取り出す• BASE64 デコード ツールを使う – http://www.rbl.jp/base64.php – http://www.webutils.pl/index.php?idx=bas e64• メール メッセージとして復元し、メール クライアントで添付ファイルを取り出す – .eml ファイルとして保存し、Outlook Express や Outlook で開く – http://support.microsoft.com/kb/956693/ja
  16. 16. 取り出したファイルを確認
  17. 17. ファイルの MD5 を計算• secretrendezvous.docx 9e423e11db88f01bbff81172839e1923• image1.png aadeace50997b1ba24b09ac2ef1940b7
  18. 18. さて、NetworkMiner では…
  19. 19. NetworkMiner の勝ちでした• メール メッセージ• メール資格情報(ユーザー名とパスワード)• 添付ファイル• 全部自動抽出してくれました• 後はMD5 を計算するだけ……

×