Pcap Analysis [ka]
Pcap Analysis
საქართველოში ყოველწლიურად ტარტდება კიბერ ოლიმპიადა(cybercube), რომელიც რამდენიმე ტიპისი სავარჯიშოს მოიცავ. დღეს განვიხილავ ერთ-ერთი…
საქართველოში ყოველწლიურად ტარტდება კიბერ ოლიმპიადა(cybercube), რომელიც რამდენიმე ტიპის სავარჯიშოს მოიცავს.
დღეს განვიხილავ ერთ-ერთი კატეგორიის, ქსელური ნაკადის ანალიზის, რამდენიმე ამოცანას და ვეცდები, თითოეული ნაბიჯი დეტალურად ავხსნა.
კიბერ ოლიმპიადაზე გამოყენებული სავარჯიშოები შეგიძლიათ cyber-lab — ზე იხილოთ.
ჩვენი პირველი ამოცანა იქნება Heist2, რომლის პირობაც შემდეგია:
მოცემული გვაქვს PCAPNG ფაილი, რომელზე სამუშაოდაც, Heist2 ის მაგალითზე, wireshark-ს გამოვიყენებ, ის იდეალური ხელსაწყოა ქსელური ნაკადის ანალიზისთვის. wireshark ის დაყენება ძალიან მარტივია, ყველა პლატფორმაზეა ხელმისაწვდომი.
wireshark — ის დაყენების შემდეგ გახსენით ამოცანა. ის შემდეგნაირად გამოიყურება:
სანამ უშუალოდ PCAP ზე გადავალთ, ვნახოთ ამოცანის პირველი კითხვა:
IP მისამართის გაგება რამდენიმე გზით შეგვიძლია, ამ შემთხვევაში შეგვიძლია ვნახოთ სტატისტიკა, თუ რომელ IP მისამართს რა წილი უკავია. Statistics => IPv4 => Statistics => All Addresses
192.168.2.25 დიდ ადგილს იკავებს, მოდი გავყვეთ მას და გავიგოთ სად და რაში ფიგურირებს. ამოცანის მეორე კითხვიდან ვასკვნით, რომ დამნაშავეები ერთმანეთს მეილის საშუალებით უკავშირებიან. ჩვენ შეგვიძლია გავფილტროთ მონაცემები და ვნახოთ, ფიგურირებს თუ არა ეს ჩვენი IP ბოროტმოქმედების მეილებში.
ინფორმაცია შეგვიძლია შემდეგი ბრძანებით გავფილტროთ, რომელიც გვიჩვენებს მხოლოდ იმ ინფორმაციას სადაც ჩვენი აიპი ფიგურირებს და მას გაფილტრავს smtp პროტოკოლის მიხედვით (მეილები იყენებენ მას)
ip.host == 192.168.2.25 && smtp
გამოვიჭირეთ, ეს IP ნამდვილად ჩვენი ბოროტმოქმედისაა, ამასთან ერთად მეორე კითხვის პასუხიც გავიგეთ, 3 მეილი რომელიც მიმოწერაში ფიგურირებს :
dkvatadze@dea.gov.ge, lkhasaia@dea.gov.ge, ltakashvili@dea.gov.ge
მეილის შიგთავსის ნახვა მარტივად შეგვიძლია:
Rigth click => Follow = > TCP stream
მეილშიც გვაქვს ტექსტი რომელიც ენკოდირებულია base64 ით, მისი დეკოდირება მარტივად შეგვიძლია base64decode.org ით, ასევე ლინუქსის მარტივი ქომანდითაც ¯\_(ツ)_/¯
მეილის დეკოდირების შემდეგ ცალსახა ხდება მეხუთე ამოცანის პასუხიც, კრიმინალები skimmer —ის შეძენას აპირებენ.
პირველ მეილში საინტერესო აღარაფერია, გადავიდეთ შემდეგზე (იგივე ნაბიჯები უნდა გაიაროთ რაც პირველზე გავაკეთეთ):
მეორე მეილით ვიგებთ მესამე კითხვის პასუხს, ბოროტმოქმედები იყენებენ openstego-ს რომელიც steganography-ის ერთ-ერთი თულია.
შიფრაციის მეთოდით სწორედ steganography — ია იქნება
ასევე ვიგებთ ენკოდირებისას გამოყენებულ პაროლს — cali cartel, ისღა დაგვრჩენია სურათი ვიპოვოთ.
სურათიც მეილშია გაყოლილი, რომელიც დანარჩენი ინფორმაციისავით base64 ით არის ენკოდირებული.
ჩვენი ენკოდირებული ტექსტის სურათად გარდასაქმელად შეგვიძლია ონლაინ თულები გამოვიყენოთ, მოვაკოპიროთ მთლიანი ტექსტი და ჩავაფეისთოთ მაგალითად აქ codebeautify.org, ნუ, უამრავი ასეთი საიტია.
ან ლინუქსით, უფრო მარტივად:
**cat secret.txt base64 -D > secret.png**
სადაც secret.txt ის ფაილია რომელიც ჩვენ base64 ით ენკოდირებულ ტექსტს შეიცავს.
ჩვენი base64 იდან ვიღებთ სურათს, რომლის დეკოდირებისთვისაც მიმოწერაში ნახსენები პროგრამა openstego შეგვიძლია გამოვიყენოთ.
როგორც ამოცანის მეოთხე კითხვა გვეუბნება, openstego-ს 0.7.0 ვერსია გვჭირდება.
openstego-ს დაყენების შემდეგ გადავიდეთ Extract Data -ზე, პირველ ველში ვუთითებთ ჩვენ სურათს, ხოლო მეორეში მისამართს სადაც გვუსრს, რომ დაექსტრაქტებული მონაცემები გამოიტანოს.
პაროლიც ვიცით — cali cartel
დაექსპორტების შემდეგ ვიღებთ სურათს, სადაც დროა მოცემული. მეოთხე კითხვის პასუხიც ცალსახა ხდება:
25 dec 2017 23:00
P.S. ვინდოუსზე თუ ხართ, გაფართოება შეუცვალეთ .txt ზე, რის შემდეგაც თავისუფლად გახსნით, ან პირდაპირ რომელიმე ტექსტური ედიტორით გახსენით.
დაგვრჩა ბოლო კითხვა და ბოლო მეილი, რომლის შიგთავსიც შემდეგია :
კოორდინატებს რუკაზე თუ ვნახავთ, დავინახავთ TBC ბანკის ბანკომატს, საბოლოო კითხვის პასუხიც გავიგეთ:
TBC
შემდეგი ამოცანა Covert Channel
მისი პირობა შემდეგია :
მოდი ამ ამოცანის ამოსახნელად გამოვიყენო ხელსაწყო tcpdump რომელის დაყენებაც ლინუქსზე ძალიან მარტივად შეგიძლიათ.
გავხსნათ ჩვენი PCAP-ი და ვნახოთ რა არის შიგნით:
tcpdump -X -r covert-channel.pcap
-r ფაილის წასკითხად, -X მთლიანი შიგთავსის სანახავად
ერთი შეხედვით საინტერესო არაფერია, მაგრამ თუ დავაკვირდებით Ip — 10.10.75.1 დან გაგზავნილი ინფორმაციაში, გვხდება ასოები, რომლებიც ყოველ შემდეგ პაკეტში იცვლება
მოდი გრეპის საშუალებით ვნახოთ ამ IP იდან გაგზავნილი პაკეტები:
**tcpdump -X -r covert-channel.pcap grep -A1 10.10.75.1.distinct grep -v 10.10.75.1.distinc**t
-A1 ჩვენი აიპის შემდგომი ხაზის სანახავად, grep -v 10.10.75.1.distinct — მხოლოდ შემდგომი ხაზის სანახავად, აიპის გარეშე
შეტყობინებაც უკვე შესამჩნევი ხდება, ცალ-ცალკე ასოები, რომ არ ვიწეროთ, როგორც ვინდოუსზე მოგვიწევდა, მოვაშოროთ ზედმეტი ყველაფერი და ვნახოთ ჩვენი შეტყობინება:
**tcpdump -X -r covert-channel.pcap grep -A1 10.10.75.1.distinct grep -o ‘\E..(.\{1\}’ sed ‘s/E..(//g’ tr -d ‘\n’ tr ‘.’ ‘ ‘**
**grep -o ‘\E..(.\{1\}’ sed ‘s/E..(//g’**
მხოლოდ იმ სიმბოლოს სანახავად რაც ‘E..(’ — ს შემდეგ მოდის
**tr -d ‘\n’ tr ‘.’ ‘ ‘**
‘\n’ -ს მოსაშორებლად და წერტილის სფეისით შესაცვლელად.
მივიღეთ ჩვენი შეტყობინებაც — ‘we will place a bomb at the second floor’.
სულ ეს იყო, იმედია მოგეწონათ.
კიბერ ოლიმპიადა ძალიან კარგი საშუალებაა ახალი ინფორმაციის შესასწავლად, პირადად მე ბევრი რამ მასწავლა, cyber-lab ზე შეგიძლიათ აკეთოთ სავარჯიშოები, რომლებიც გაგაცნობენ რეალურ ინციდენტებს და მსგავსი სავარჯიშოების კეთების ‘აზარტში’ შეგიყვანენ.