network forensics puzzle contest に挑戦 #2
DESCRIPTION
第9回「ネットワーク パケットを読む会(仮)」の発表スライドTRANSCRIPT
Network Forensics Puzzle Contest #2 を解析してみた
村地 彰 aka hebikuzure
Puzzle #2: Ann skips bail
• 出題 http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail
• 対象ファイルhttp://forensicscontest.com/contest02/evidence02.pcap
前回は… ..
• NetworkMinor に喰わせてみたら全部一発で答えが出てしまったので
• 今回は地道に作業します
まず Ann の IP アドレスを調べる
• Wireshark で開く• [Statistics] – [Conversations]• IPv4 セッションは 6 つ– 192.168.1.10, 192.168.1.30,
192.168.1.159, 10.1.1.20, smtp.cs.com (64.12.102.142)
• TCP セッションは 2 つ–いずれも 192.168.1.159 と smtp.cs.com
192.168.1.159 が目的のアドレス
フィルタする
• [Conversations] のウィンドウで会話を右クリック
• [Apply as Filter] – [Selected] – [A⇔B]
TCP ストリームを見る
ここまででわかる事
• Ann の IP アドレスは 192.168.1.159• smtp.cs.com の Submission ポートに
接続して SMTP サーバーに AUTH LOGIN でログインしている
• メール アドレスは [email protected] らしい
• 送信先は [email protected]
ユーザー名とパスワード
• いずれも BASE64 エンコードされている
• ユーザー名c25lYWt5ZzMza0Bhb2wuY29t
• パスワードNTU4cjAwbHo=
• デコードしてユーザー名 : [email protected]パスワード : 558r00lz
メールの内容は ?
• Sorry-- I can't do lunch next week after all. Heading out of town. =Another time! –Ann
• 特に秘密の内容ではなさそう…………
もう一つのストリームも見る
こちらが本命か ?
• 送信先 : [email protected]• 本文
Hi sweetheart! Bring your fake passport and a bathing suit. Address =attached. love, Ann
• 偽造パスポートと水着を持参してね、ってことですか ( ー _ ー )!!
添付ファイルがあるぞ
添付ファイル
• ファイル名 : secretrendezvous.docx( 秘密の逢引 )
• コンテンツは BASE64 エンコード
添付ファイルを取り出す
• BASE64 デコード ツールを使う– http://www.rbl.jp/base64.php– http://www.webutils.pl/index.php?
idx=base64
• メール メッセージとして復元し、メールクライアントで添付ファイルを取り出す– .eml ファイルとして保存し、 Outlook
Express や Outlook で開く– http://support.microsoft.com/kb/
956693/ja
取り出したファイルを確認
ファイルの MD5 を計算
• secretrendezvous.docx9e423e11db88f01bbff81172839e1923
• image1.pngaadeace50997b1ba24b09ac2ef1940b7
さて、 NetworkMiner では…
NetworkMiner の勝ちでした
• メール メッセージ• メール資格情報 ( ユーザー名とパスワー
ド )• 添付ファイル
• 全部自動抽出してくれました• 後は MD5 を計算するだけ……