Jag trodde att det skulle gå lite snabbare än såhär… Men med en del att styra upp i vardagen, så har det inte blivit så intensivt som jag har hoppats på. Men nu har jag iallafall, arbetat någon timme på projektet. Men det blir nog (förhoppningsvis) en del 3 vid ett senare tillfälle. Årets challenge är förpackad i en komprimerad fil, som jag packat upp i CentOS 7. Anledningen till att jag använde CentOS 7 och inte någon distrubtion inriktad på t.ex. säkerhet som Kali är att min hemmaserver kör CentOS 7 som boot OS. Men jag har också Windows 10 installerad i Virtualbox.
För ett tag sedan ogillade jag skarpt att köra Windows i Virtualbox, menmed tiden har jag faktiskt blivit ganska bekväm. Jag känner att jag har blivit varm i kläderna efter år av trail and errors där jag har strulat med diverse ominstallationer och svårigheter med olika distrubtioners syntax bland mycket annat. Jag är förvisso fortfarande ingen expert och skulle behöva utvecklas på många sätt inom IT. När kommer till just Linux skulle jag kunna lära mig bash scripting samt bli bättre på programmering exemeplvis. Men jag har en förmåga att hantera verktygen i Kali’s arsenal, jag sätta upp en LEMP/LAMP server eller annan mjukvara (med hjälp av dokumentation) samt felsöka. Jag kan hantera alla välkända Unix distrubitioner bara jag får tid på mig. Jag kände att jag hade tillräckligt att ge för den här denna challenge. Dock upplever jag att FRA har höjt ribban vässenligt i jämföreslse med för några år sedan.
Fiktivt Scenario
Så till att börja med så packade jag upp filen som jag laddat ner, som innehåller en .pcap-fil och en readme.
Scenario:
Ett företags DNS-server har under den senaste tiden betett sig märkligt mot en av företagets datorer.
Således lät man spela in datatrafik mellan DNS-servern och den aktuella klienten.
Nu behöver företaget din hjälp att klura ut vad som är märkligt!Detaljer:
– Det finns 3 flaggor som är gömda i datatrafiken (strängar av typen <text>flag).
– Vi vill att du redovisar hur du angripit uppgiften, och vilka flaggor du hittat.
– Vi ser även att du skickar in din ansökan även om du inte hittat alla flaggor.
Nästa steg är att installera Wireshark i terminalen och öppna upp trafiken. Sedan öppnade jag trafiken, markerade alla paket och högerklickade och valde ”Follow UDP Stream”. Sedan sparade jag ner detta som RAW-data och öppnade med en hexeditor i Windows.
Paketanalys & Filsignaturer
Med hjälp av HxD som är en gratis hexeditor i Windows, så kollade jag först och främst efter filsignaturer. Jag exporterade och en .txt-fil och använde ett verktyg som heter TrID som skannar hela dokumentet mot en databas med mängder av filsignaturer. Tyvärr ingen träff. Men längst ner så ser tecknerna så ser allt lite annorlunda ut. Tänkte att det kanske kan kunde vara en misstänkt binär fil, kanske något krypterat eller varför inte någon form av komprimerad fil inbakad i trafiken. Uppenbarligen i ett av blocken i längre ner. så ser datan lite suspekt ut. Jag hade också provat att använda andra verktyg för att se om det finns några medföljande filer eller annan intressant data… Exempelvis brukar jag använda gratisversionen av Network Miner. Men i det här fallet hittade den bara DNS paket.
Det finns något som kallas för ”DNS tunneling”. Alltså, att man missbrukar protokolet för att skicka payloads istället för ordinarie DNS paket. Men efter mycket sökande på Google, jämförande av case (attacker) med verkyg för detta ändamål samt enstaka frågor i Wiresharks officiella IRC kanal så börjar jag fundera på om DNS tunnel verkligen är den attack som använts. Jag (vi) har dock dragit slutsatsen att vi har varit helt ute och cyklat.
Fortsättning?
Dessutom när jag skrivit förgående inlägg (Del 1) blev jag kontaktad av en specialist som är ganska ny inom branschen (med ett förflutet som kemist) men vill likväl som mig utvecklas inom ämnet. Så vi bestämde oss för att försöka sammarbeta kring det här projektet. Sagt och gjort… Så blev det. Även om jag hade redan påbörjat arbete lite lätt sedan innan. Vi får se om vi kommer på något nytt under de kommande dagarna. Hittils har vi var inne på spåret att trafiken kanske är omkodad med någon slags algoritm (kanske flera) t.ex. XOR och att det kanske finns något meddelande att utläsa. Vi misstänker att det kanske finns 3 olika nivåer med olika flaggor… Base64 har vi bland annat provat och det gav inget resultat.
Min tidigare lösning från 2012 som jag nämnde i det föregående inlägget finns tillgänglig HÄR.