Network Forensics Puzzle Contest #2 を解析してみた

村地　彰 aka hebikuzure

Puzzle #2: Ann skips bail

• 出題 http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail

• 対象ファイルhttp://forensicscontest.com/contest02/evidence02.pcap

前回は… ..

• NetworkMinor に喰わせてみたら全部一発で答えが出てしまったので

• 今回は地道に作業します

まず Ann の IP アドレスを調べる

• Wireshark で開く• [Statistics] – [Conversations]• IPv4 セッションは 6 つ– 192.168.1.10, 192.168.1.30,

192.168.1.159, 10.1.1.20, smtp.cs.com (64.12.102.142)

• TCP セッションは 2 つ–いずれも 192.168.1.159 と smtp.cs.com

192.168.1.159 が目的のアドレス

フィルタする

• [Conversations] のウィンドウで会話を右クリック

• [Apply as Filter] – [Selected] – [A⇔B]

TCP ストリームを見る

ここまででわかる事

• Ann の IP アドレスは 192.168.1.159• smtp.cs.com の Submission ポートに

接続して SMTP サーバーに AUTH LOGIN でログインしている

• メール アドレスは sneakyg33k@aol.com らしい

• 送信先は sec558@gmail.com

ユーザー名とパスワード

• いずれも BASE64 エンコードされている

• ユーザー名c25lYWt5ZzMza0Bhb2wuY29t

• パスワードNTU4cjAwbHo=

• デコードしてユーザー名 : sneakyg33k@aol.comパスワード : 558r00lz

メールの内容は ?

• Sorry-- I can't do lunch next week after all. Heading out of town. =Another time! –Ann

• 特に秘密の内容ではなさそう…………

もう一つのストリームも見る

こちらが本命か ?

• 送信先 : mistersecretx@aol.com• 本文

Hi sweetheart! Bring your fake passport and a bathing suit. Address =attached. love, Ann

• 偽造パスポートと水着を持参してね、ってことですか ( ー _ ー )!!

添付ファイルがあるぞ

添付ファイル

• ファイル名 : secretrendezvous.docx( 秘密の逢引 )

• コンテンツは BASE64 エンコード

添付ファイルを取り出す

• BASE64 デコード ツールを使う– http://www.rbl.jp/base64.php– http://www.webutils.pl/index.php?

idx=base64

• メール メッセージとして復元し、メールクライアントで添付ファイルを取り出す– .eml ファイルとして保存し、 Outlook

Express や Outlook で開く– http://support.microsoft.com/kb/

956693/ja

取り出したファイルを確認

ファイルの MD5 を計算

• secretrendezvous.docx9e423e11db88f01bbff81172839e1923

• image1.pngaadeace50997b1ba24b09ac2ef1940b7

さて、 NetworkMiner では…

NetworkMiner の勝ちでした

• メール メッセージ• メール資格情報 ( ユーザー名とパスワー

ド )• 添付ファイル

• 全部自動抽出してくれました• 後は MD5 を計算するだけ……