clevergod
16.01.2019, 22:00
Finde the cat (Part 9)
Продолжим разбор деталей по форензике на крупнейшей в Казахстане конференции на тему ИБ — KazHackStan 2018
Тем, кто пропустил что-то, задач было 11: Brain (https://forum.antichat.xyz/threads/1626346/), Finde the cat, FTP-authentication (https://forum.antichat.xyz/threads/1626343/), Reversing Python (https://forum.antichat.xyz/threads/1626353/), Steganography 2 (https://forum.antichat.xyz/threads/1626347/), Steganography 3 (https://forum.antichat.xyz/threads/1626350/), Steganography 4 (https://forum.antichat.xyz/threads/1626351/), Steganography 5 (https://forum.antichat.xyz/threads/1626352/), WTFilee (https://forum.antichat.xyz/threads/1626355/), Command & Control, Command & Control2
https://forum.antichat.xyz/attachments/29011547/img_f004ed492f.png
Скачать
Итак, по легенде: «Задание:Find the cat
Points: 15
Описание: Кошек президента похитили сепаратисты. Подозреваемый с USB-ключом был арестован. Необходимо проанализировать этот ключ и выяснить, где находятся кошки.
helfrantzkirch…»
Одно из самых приближенных к реальной жизни заданий по форензике. Осталось вспомнить все то, чему учили в EC-Council, когда учили CHFI.
Итак, мы имеем файл chall9размером 131 мегабайт. По обыкновению смотрим текстовиком чтобы понять с чем мы имеет дело:
https://forum.antichat.xyz/attachments/29011547/img_8b02fa14aa.png
Это имидж или дамп памяти, в форензике первоистественное приложение для работы со слепками это AccessData Forensic Toolkit (FTK) — программное обеспечение для проведения компьютерных экспертиз, обеспечивает анализ дампа оперативной памяти, использует мощный инструмент поиска, осуществляет архивацию данных и проводит полное исследование компьютера в рамках судебной экспертизы.
В состав пакета AccessData Forensic Toolkit входят программные средства:
Forensic Toolkit – программа с мощной системой поиска для проведения комплексной компьютерной криминалистика.
Oracle Database – встроенная база данных
FTK Imager – программа для создания образа диска
RegistryViewer – программа для анализа реестра
KFF – библиотека хэшей (более 45 млн. хэшей)
Password Recovery Toolkit – мощное программное средство для восстановления паролей более 100 приложений
DNA (Distributed Network Attack) – программный продукт для повышения производительности при восстановлении паролей, позволяющий использовать компьютерную сеть
Licence Mamager – сервисная программа для контроля состояния лицензий
По ссылке выше доступен ISO образ объемом ~ 4 Gb, нам нужен только FTK Imager, скачать можно здесь.
https://forum.antichat.xyz/attachments/29011547/img_d40f9bda11.png
Я проверил все интересные файлы pdf, doc, jpg, png - а котенка все нет. Зато были обнаружены интересы хозяина флешки, он смотрел информацию об iPhone 4S, книги на Amazon, информацию об Эльзасской Советской Республике и о регионах Франции, а так же использовал в качестве продукта по работе с офисными файлами - LibreOffice.
https://forum.antichat.xyz/attachments/29011547/img_428fc1b983.png
https://forum.antichat.xyz/attachments/29011547/img_86f6e20767.png
В основных файлах находим геоданные и IP-адрес 78.236.229.52 и начинаем анализировать:
https://forum.antichat.xyz/attachments/29011547/img_0ce8a8729d.png
и находим информацию
https://forum.antichat.xyz/attachments/29011547/78.png
Проанализировав Base64 изображенния, понимаеш что это статья с Википедии, прямых улик не находим и продолжаем анализировать дальше...
Были проверены так же удаленные файлы
https://forum.antichat.xyz/attachments/29011547/img_e354f74283.png
Среди имеющихся папок и файлов ничего интересного не найдено, давайте проверим неразмеченную область, мб там будут какие то улики
https://forum.antichat.xyz/attachments/29011547/img_2acc026405.png
В файле 015426 видим начало 50 4B 03 04, а это господа вероятнее всего архив
Экспортируем и проанализировав находим котенка
https://forum.antichat.xyz/attachments/29011547/img_4982517071.png
https://forum.antichat.xyz/attachments/29011547/img_bfb653ef27.png
Мы догадываемся, судя по тому, что снимок сделан с помощью iPhone - должны быть геоданные снимка и находим их:
https://forum.antichat.xyz/attachments/29011547/img_c7fc5843ac.png
https://forum.antichat.xyz/attachments/29011547/img_e62ae65db4.png
https://forum.antichat.xyz/attachments/29011547/img_7ebe17b997.png
Примерно так происходит и в реальной жизни...
Почти все представленные задачи можно выполнять самостоятельно, находить новый инструментарий, ну и по секрету скажу, большую часть этих задач можно найти на root-me и Вы уже знаете как их выполнять. Скажу сразу, я не всю форензику и далеко не все стеганографические изыскания на указанном ресурсе выполнил и очень хотел бы с Вами их разобрать. В рамках нашего форума Antichat.net была создана telegram группа по CTF, надеюсь в ней можно будет с разрешения администрации поразбирать... В рамках ресурса рутми я еще совсем новичек и для дальнейшего набора балов, требуется больше навыка, мастерства и стараний
https://forum.antichat.xyz/attachments/29011547/img_c87bd3d573.png
Тепрь друзья пробуйте сами...
Продолжим разбор деталей по форензике на крупнейшей в Казахстане конференции на тему ИБ — KazHackStan 2018
Тем, кто пропустил что-то, задач было 11: Brain (https://forum.antichat.xyz/threads/1626346/), Finde the cat, FTP-authentication (https://forum.antichat.xyz/threads/1626343/), Reversing Python (https://forum.antichat.xyz/threads/1626353/), Steganography 2 (https://forum.antichat.xyz/threads/1626347/), Steganography 3 (https://forum.antichat.xyz/threads/1626350/), Steganography 4 (https://forum.antichat.xyz/threads/1626351/), Steganography 5 (https://forum.antichat.xyz/threads/1626352/), WTFilee (https://forum.antichat.xyz/threads/1626355/), Command & Control, Command & Control2
https://forum.antichat.xyz/attachments/29011547/img_f004ed492f.png
Скачать
Итак, по легенде: «Задание:Find the cat
Points: 15
Описание: Кошек президента похитили сепаратисты. Подозреваемый с USB-ключом был арестован. Необходимо проанализировать этот ключ и выяснить, где находятся кошки.
helfrantzkirch…»
Одно из самых приближенных к реальной жизни заданий по форензике. Осталось вспомнить все то, чему учили в EC-Council, когда учили CHFI.
Итак, мы имеем файл chall9размером 131 мегабайт. По обыкновению смотрим текстовиком чтобы понять с чем мы имеет дело:
https://forum.antichat.xyz/attachments/29011547/img_8b02fa14aa.png
Это имидж или дамп памяти, в форензике первоистественное приложение для работы со слепками это AccessData Forensic Toolkit (FTK) — программное обеспечение для проведения компьютерных экспертиз, обеспечивает анализ дампа оперативной памяти, использует мощный инструмент поиска, осуществляет архивацию данных и проводит полное исследование компьютера в рамках судебной экспертизы.
В состав пакета AccessData Forensic Toolkit входят программные средства:
Forensic Toolkit – программа с мощной системой поиска для проведения комплексной компьютерной криминалистика.
Oracle Database – встроенная база данных
FTK Imager – программа для создания образа диска
RegistryViewer – программа для анализа реестра
KFF – библиотека хэшей (более 45 млн. хэшей)
Password Recovery Toolkit – мощное программное средство для восстановления паролей более 100 приложений
DNA (Distributed Network Attack) – программный продукт для повышения производительности при восстановлении паролей, позволяющий использовать компьютерную сеть
Licence Mamager – сервисная программа для контроля состояния лицензий
По ссылке выше доступен ISO образ объемом ~ 4 Gb, нам нужен только FTK Imager, скачать можно здесь.
https://forum.antichat.xyz/attachments/29011547/img_d40f9bda11.png
Я проверил все интересные файлы pdf, doc, jpg, png - а котенка все нет. Зато были обнаружены интересы хозяина флешки, он смотрел информацию об iPhone 4S, книги на Amazon, информацию об Эльзасской Советской Республике и о регионах Франции, а так же использовал в качестве продукта по работе с офисными файлами - LibreOffice.
https://forum.antichat.xyz/attachments/29011547/img_428fc1b983.png
https://forum.antichat.xyz/attachments/29011547/img_86f6e20767.png
В основных файлах находим геоданные и IP-адрес 78.236.229.52 и начинаем анализировать:
https://forum.antichat.xyz/attachments/29011547/img_0ce8a8729d.png
и находим информацию
https://forum.antichat.xyz/attachments/29011547/78.png
Проанализировав Base64 изображенния, понимаеш что это статья с Википедии, прямых улик не находим и продолжаем анализировать дальше...
Были проверены так же удаленные файлы
https://forum.antichat.xyz/attachments/29011547/img_e354f74283.png
Среди имеющихся папок и файлов ничего интересного не найдено, давайте проверим неразмеченную область, мб там будут какие то улики
https://forum.antichat.xyz/attachments/29011547/img_2acc026405.png
В файле 015426 видим начало 50 4B 03 04, а это господа вероятнее всего архив
Экспортируем и проанализировав находим котенка
https://forum.antichat.xyz/attachments/29011547/img_4982517071.png
https://forum.antichat.xyz/attachments/29011547/img_bfb653ef27.png
Мы догадываемся, судя по тому, что снимок сделан с помощью iPhone - должны быть геоданные снимка и находим их:
https://forum.antichat.xyz/attachments/29011547/img_c7fc5843ac.png
https://forum.antichat.xyz/attachments/29011547/img_e62ae65db4.png
https://forum.antichat.xyz/attachments/29011547/img_7ebe17b997.png
Примерно так происходит и в реальной жизни...
Почти все представленные задачи можно выполнять самостоятельно, находить новый инструментарий, ну и по секрету скажу, большую часть этих задач можно найти на root-me и Вы уже знаете как их выполнять. Скажу сразу, я не всю форензику и далеко не все стеганографические изыскания на указанном ресурсе выполнил и очень хотел бы с Вами их разобрать. В рамках нашего форума Antichat.net была создана telegram группа по CTF, надеюсь в ней можно будет с разрешения администрации поразбирать... В рамках ресурса рутми я еще совсем новичек и для дальнейшего набора балов, требуется больше навыка, мастерства и стараний
https://forum.antichat.xyz/attachments/29011547/img_c87bd3d573.png
Тепрь друзья пробуйте сами...