2012/06/28 #ssmjp にて発表した資料です。 若手の方が参加しているので、最低限の補足を余談として入れてあります。あくまで、自分で調べるためのキーワードをお伝えする程度ですが。

1. Network forensics
puzzle contest
に挑戦しています
#ssmjp 2012/06/28 @th0x0472

2. お約束
• Twitter @th0x0472
• Blog http://th0x0472.at.webry.info/

3. 今回のお題
• “Network Forensics Puzzle Contest”に
挑戦してみた
• http://forensicscontest.com/

4. コレは何？(1/2)
• NW フォレンジックのコンテストです。
• 「ネットワークパケットを読む会(仮)」
という勉強会のお題で知りました。
• pcapファイルを渡されます。
• 問題が出題されます。
• pcapファイルから答えを探します。

5. コレは何？(2/2)
• 今僕が取り組んでる範囲では、暗号化された
通信は出てきていない。
• 求められてるモノが明確。
• ノイズになるパケットが少ない。
初心者向き！
（は言い過ぎかもしれないけれど、頑張れる・・・ハズ）

6. 今回やること
• 今回は、Puzzle2をやります。
http://forensicscontest.com/2009/10/10/
puzzle-2-ann-skips-bail
（1は先日の本家勉強会でやりました）
• 作業環境は、Macです。
（Linuxは少しコマンド違うけど同じ要領です）

7. Puzzle2
の前に、前回のあらすじ。
登場人物：Ann, Mr. X, あなた
Annは会社の機密を盗んで逃げようとしてい
る。その共犯がMr. X。
あなたはAnnとMr. Xの通信をキャプチャして
調べている。(という設定で問題が出ます）

8. Puzzle2の状況設定
After being released on bail, Ann Dercover disappears!
Fortunately, investigators were carefully monitoring her
network activity before she skipped town.
“We believe Ann may have communicated with her
secret lover, Mr. X, before she left,” says the police chief.
“The packet capture may contain clues to her
whereabouts.”
You are the forensic investigator. Your mission is to
figure out what Ann emailed, where she went, and
recover evidence including:

9. Puzzle2の問題 (1/2)
1. What is Ann’s email address?
2. What is Ann’s email password?
3. What is Ann’s secret lover’s email address?
4. What two items did Ann tell her secret
lover to bring?
5. What is the NAME of the attachment Ann
sent to her secret lover?

10. Puzzle2の問題 (2/2)
6. What is the MD5sum of the attachment
Ann sent to her secret lover?
7. In what CITY and COUNTRY is their
rendez-vous point?
8. What is the MD5sum of the image
embedded in the document?

11. 1. What is Ann’s email
address?
• 聞かれているのは、メールアドレス。
＝ メールに関わる通信がある？
• SMTP(25/tcp), POP3(110/tcp),
IMAP(143/tcp),
submission-port(587/tcp) あたり？
• まずはポート番号を頼りに探してみる？

12. 余談：IANA, Wellknown Port
• SMTPの25/tcp等、有名なサービスには
デフォルトのポート番号が割り当てられ
ています。
• Wellknown Portといいます。
• 割り当てをしてるのは、
IANAという組織です。

13. 余談：IANA, Wellknown Port
Internet Assigned Numbers Authority（IANA、アイアナ）とはインターネットに関連す
る番号を管理する組織である。IPアドレス・ドメイン名・ポート番号等の標準化・割り当
て・管理などを行う。アメリカの南カリフォルニア大学のISI（Information Sciences
Institute）にある。
ジョン・ポステルが中心となって始めた組織。運営費用の一部がアメリカ政府により援助
されていたが国際的な機関となるために1999年、ICANNの援助によって活動する組織に
変更された。現在、ICANNの下部組織。
Wikipediaより。
http://ja.wikipedia.org/wiki/Internet_Assigned_Numbers_Authority

14. 余談：IANA, Wellknown Port
• Wellknown Portは、IANAのWebサイト
で調べられます。(でかいファイル注意）
http://www.iana.org/assignments/service-names-
port-numbers/service-names-port-numbers.xml
• Wikipediaでも可。(個人的にお勧め）
http://ja.wikipedia.org/wiki/TCPや
UDPにおけるポート番号の一覧

15. 1. What is Ann’s email
address?
• WiresharkでPCAPファイルを開いてみる
• まずはProtocolでソートしてみる
• なにやらSMTPがある
(実はポート番号は
Wiresharkまかせ！）

16. 1. What is Ann’s email
address?
Follow TCP Stream で見てみよう！
右クリック
パケット選択
Follow TCP Stream

17. 1. What is Ann’s email
address?

18. 1. What is Ann’s email
address?
おまけ
sneaky geek
http://ejje.weblio.jp/content/sneaky

19. 2. What is Ann’s email
password?
普通に考えて、ID/Password入力は
”AUTHENTICATION SUCCESSFUL“の
すぐ前くらいだよね。

20. 2. What is Ann’s email
password?

21. 2. What is Ann’s email
password?
• SMTP Authで認証してる。
• IT用語辞典 e-words によれば
SMTP Authentication【SMTP認証】
メール送信に使うプロトコルであるSMTPにユーザ認
証機能を追加した仕様。RFC 2554によって規定されて
いる。
http://e-words.jp/w/SMTP20Authentication.html

22. 2. What is Ann’s email
password?
• RFC2554
http://www.ietf.org/rfc/rfc2554.txt
• 日本語訳 (してくれた方に感謝！）
http://srgia.com/docs/rfc2554j.html

23. 2. What is Ann’s email
password?
日本語訳から引用：
4. AUTH コマンド
AUTH 認証メカニズム [初期レスポンス]
引数：
SASL の認証メカニズムを特定する文字列とオプ
ションの base64 エンコードされたレスポンス

24. 余談：BASE64
Base64は、データを64種類の印字可能な英数字のみを用いて、それ以外
の文字を扱うことの出来ない通信環境にてマルチバイト文字やバイナリ
データを扱うためのエンコード方式である。MIMEによって規定されてい
て、7ビットのデータしか扱うことの出来ない電子メールにて広く利用され
ている。具体的には、A–Z, a–z, 0–9 までの62文字と、記号2つ (+ , /) 、さ
らにパディング（余った部分を詰める）のための記号として = が用いられ
る。この変換によって、データ量は4/3（約133%）になる[1]。また、
MIMEの基準では76文字ごとに改行コードが入るため、この分の2バイトを
計算に入れるとデータ量は約137%となる[2]。
Wikipediaより。
http://ja.wikipedia.org/wiki/Base64

25. 余談：BASE64
BASE64は、Mac/Linuxだと標準的な
base64 コマンドでエンコード/デコード
できます。
% echo "Hello world." | base64
SGVsbG8gd29ybGQuCg==
% echo "SGVsbG8gd29ybGQuCg==" | base64 -D
Hello world.

26. 余談：BASE64
openssl コマンドでもいけます。
% echo "Hello world." | openssl enc -base64 -e
SGVsbG8gd29ybGQuCg==
% echo "SGVsbG8gd29ybGQuCg==" | openssl enc -
base64 -d
Hello world.

27. 余談：BASE64
Windowsは・・・
よく知らないけど、標準ではムリっぽい
まぁ仮想でLinux導入しておけばOK。

28. 余談：BASE64
こんなところで使われています。
電子メール
電子メールでは、SMTPなどの制約により、7bit文字列以外をやり
取りすることは出来ない。そのため、添付ファイルなどのバイナリ
形式のデータを送信する際に標準的に利用されている。
Basic認証
HTTPヘッダでは、特殊記号を使用することが出来ないため、ユー
ザー名とパスワードをコロン (:) で区切ってBase64エンコードした
文字列がBasic認証に用いられている。

29. 余談：RFC
RFC : Request for Comments
Request for Comments（リクエスト フォー コメンツ、略称：RFC）
はIETF（Internet Engineering Task Force）による技術仕様の保存、
公開形式である。内容には特に制限はないが、プロトコルやファイ
ルフォーマットが主に扱われる。RFCは日本語では「コメント募集」
の意味であり、もともとは技術仕様を公開し、それについての意見
を広く募集してより良いものにしていく観点から始められたようであ
る。全てのRFCはインターネット上で公開されており、誰でも閲覧す
ることができる。
(Wikipediaより）
http://www.ietf.org/rfc.html

30. 余談：IETF
IETF : The Internet Engineering Task Force
インターネットで利用される技術の標準化を策定する組織
である。極めてオープンな組織で、実際の作業を行っている
作業部会(Working group; WG)のメーリングリストに参加す
ることで、誰でも議論に参加することが可能となってい
る。
策定された標準仕様は最終的にはRFCなどとして発行する。
(Wikipediaより）

31. 2. What is Ann’s email
password?
先ほどのダンプの内、AUTH LOGIN から 235 AUTHENTICATION
SUCCESSFUL までをBASE64でデコードしてみる
% echo VXNlcm5hbWU6 | base64 -D
Username:%
% echo c25lYWt5ZzMza0Bhb2wuY29t | base64 -D
sneakyg33k@aol.com%
% echo UGFzc3dvcmQ6 | base64 -D
Password:%
endor% echo NTU4cjAwbHo= | base64 -D
558r00lz%

32. 3. What is Ann’s secret
lover’s email address?
まずはメールヘッダと本文を見てみますか。
Message-ID: <000901ca49ae
$89d698c0$9f01a8c0@annlaptop>
From: "Ann Dercover" <sneakyg33k@aol.com>
To: <sec558@gmail.com>
Subject: lunch next week
-----(中略)-----
Sorry-- I can't do lunch next week after all. Heading out of
town. =
Another time! -Ann

33. 3. What is Ann’s secret
lover’s email address?
状況設定を思い出してみると
Ann Dercover disappears!
ということなので、来週のランチの話を
してる sec558@gmail.com は違うかな。

34. 3. What is Ann’s secret
lover’s email address?
では、他のメールを探しますか。
こんな時に活躍しそうな
Wiresharkさんの便利な機能があります。

35. 3. What is Ann’s secret
lover’s email address?
1. ファイル読み込む
2. Statistics → Conversation List →
TCP(IPv4&IPv6)を選択
3. 適当なConversationを選択して Follow
Stream を実行！

36. 3. What is Ann’s secret
lover’s email address?

37. 3. What is Ann’s secret
lover’s email address?
実はTCPのセッションが2つしかなかった
ことが判明・・・。
これのいずれかですね。

38. 3. What is Ann’s secret
lover’s email address?
ここで、通信量に着目です。
添付ファイルある＝通信量多いハズ。
というわけで、2つめの通信を見ます。

39. 3. What is Ann’s secret
lover’s email address?
Message-ID: <001101ca49ae$e93e45b0$9f01a8c0@annlaptop>
From: "Ann Dercover" <sneakyg33k@aol.com>
To: <mistersecretx@aol.com>
Subject: rendezvous
-----(中略)-----
Hi sweetheart! Bring your fake passport and a bathing suit. Address
=
attached. love, Ann
おまわりさん、コイツです！！

40. 4.What two items did Ann tell
her secret lover to bring?
問3で答え出てますね。
Hi sweetheart! Bring your fake passport
and a bathing suit. Address =
attached. love, Ann

41. 5． What is the NAME of the attachment
Ann sent to her secret lover?
これも同じ要領で。
------=_NextPart_000_000D_01CA497C.
9DEC1E70
Content-Type: application/octet-stream;
name="secretrendezvous.docx"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="secretrendezvous.docx"

42. 6. What is the MD5sum of the
attachment Ann sent to her secret
lover?

43. 6. What is the MD5sum of the
attachment Ann sent to her secret
lover?
• Ann発の通信をファイルに保存。
• さらにBASE64でエンコードされた行だけを取り出し。
（たファイルが ann-mail.txt です）
% cat ann-mail.txt | base64 -D > secretrendezvous.docx
% md5 secretrendezvous.docx
MD5 (secretrendezvous.docx) =
9e423e11db88f01bbff81172839e1923

44. 7. In what CITY and COUNTRY
is their rendez-vous point?
docxファイルはZIPでばらせる。
% unzip -l ./secretrendezvous.docx
Archive: ./secretrendezvous.docx
Length Date Time Name
-------- ---- ---- ----
1495 01-01-80 00:00 [Content_Types].xml
590 01-01-80 00:00 _rels/.rels
.... (以下略)

45. 7. In what CITY and COUNTRY
is their rendez-vous point?
というわけで早速ばらしてみる。
% mkdir secretrendezvous
endor% unzip -d ./secretrendezvous ./secretrendezvous.docx
Archive: ./secretrendezvous.docx
inflating: ./secretrendezvous/[Content_Types].xml
inflating: ./secretrendezvous/_rels/.rels
inflating: ./secretrendezvous/word/_rels/document.xml.rels
inflating: ./secretrendezvous/word/document.xml
extracting: ./secretrendezvous/word/media/image1.png
...(以下略)

46. 7. In what CITY and COUNTRY
is their rendez-vous point?
document.xml をSafariで開いてみる。

47. 7. In what CITY and COUNTRY
is their rendez-vous point?
Chromeで見ると、
画像が含まれてるのが分かります。

48. 7. In what CITY and COUNTRY
is their rendez-vous point?

49. 8. What is the MD5sum of the
image embedded in the document?
% find ./secretrendezvous/ -name '*.png'
-o -name '*.jpg' -o -name '*.gif' | xargs
md5
MD5 (./secretrendezvous//word/
media/image1.png) =
aadeace50997b1ba24b09ac2ef1940b7

50. そういえば
@togakushi さんが 前に見せてくれた
YUT Challenge の PCAP解析問題、
strings コマンド活躍してたよね？

51. manなど引用してみる
NAME
strings - find the printable strings in a object, or other binary,
file
DESCRIPTION
Strings looks for ASCII strings in a binary file or standard
input.
Strings is useful for identifying random object files and
many other things. A string is any sequence of 4 (the
default) or more printing characters ending with a newline or
a null. Unless the - flag is given, strings looks in all
sections of the object files except the (__TEXT,__text) section.
If no files are specified standard input is read.

52. 1. What is Ann’s email
address?
% strings evidence02.pcap | grep '[A-z0-9-_]+@[A-z0-9.]+'
MAIL FROM: <sneakyg33k@aol.com>
RCPT TO: <sec558@gmail.com>
J@
Message-ID: <000901ca49ae$89d698c0$9f01a8c0@annlaptop>
From: "Ann Dercover" <sneakyg33k@aol.com>
To: <sec558@gmail.com>
MAIL FROM: <sneakyg33k@aol.com>
RCPT TO: <mistersecretx@aol.com>
Message-ID: <001101ca49ae$e93e45b0$9f01a8c0@annlaptop>
From: "Ann Dercover" <sneakyg33k@aol.com>
To: <mistersecretx@aol.com>

53. 2. What is Ann’s email
password?
% strings evidence02.pcap | less (Annのメールアドレスで検索＆抜粋）
250-cia-mc06.mx.aol.com host-69-140-19-190.static.comcast.net
250-AUTH=LOGIN PLAIN XAOL-UAS-MB
250-AUTH LOGIN PLAIN XAOL-UAS-MB
AUTH LOGIN
334 VXNlcm5hbWU6
c25lYWt5ZzMza0Bhb2wuY29t
334 UGFzc3dvcmQ6
NTU4cjAwbHo=
235 AUTHENTICATION SUCCESSFUL
MAIL FROM: <sneakyg33k@aol.com>
（お断り：たくさん省略してます）

54. 3. What is Ann’s secret
lover’s email address?
% strings evidence02.pcap | less (Annのメールアドレスで検索＆抜粋）
From: "Ann Dercover" <sneakyg33k@aol.com>
To: <sec558@gmail.com>
Subject: lunch next week
Date: Sat, 10 Oct 2009 07:35:30 -0600
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0006_01CA497C.3E4B6020"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
This is a multi-part message in MIME format.
------=_NextPart_000_0006_01CA497C.3E4B6020
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Sorry-- I can't do lunch next week after all. Heading out of town. =
Another time! -Ann こいつは違うほう

55. 3. What is Ann’s secret
lover’s email address?
Message-ID: <001101ca49ae$e93e45b0$9f01a8c0@annlaptop>
From: "Ann Dercover" <sneakyg33k@aol.com>
To: <mistersecretx@aol.com>
Subject: rendezvous
Date: Sat, 10 Oct 2009 07:38:10 -0600
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_000D_01CA497C.9DEC1E70"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
（次のスライドに続く）

56. 3. What is Ann’s secret
lover’s email address?
This is a multi-part message in MIME format.
------=_NextPart_000_000D_01CA497C.9DEC1E70
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_000E_01CA497C.9DEC1E70"
------=_NextPart_001_000E_01CA497C.9DEC1E70
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Hi sweetheart! Bring your fake passport and a bathing suit. Address =
attached. love, Ann
おまわりさん、コイツです！！

57. まぁ、こんなノリで
Q4, Q5 も答えられます。
でも、さすがに添付ファイルの復元は
厳しいので諦めた。

58. おまけ
WindowsにはNetwork Minerという
ツールがありましてですね・・・
http://www.netresec.com/?page=NetworkMiner
http://sourceforge.net/projects/networkminer/
極悪です。

59. ご清聴ありがとうございました。
ご質問はお手柔らかにお願いします。
Fin.