The Honeynet Project

Challenge 4 of the Forensic Challenge 2010 - VoIP

取证分析挑战4 – 网络电话 - (由来自澳大利亚团队的Ben Reardon和来自挪威团队的 Sjur Eivind Usken提供)将带您进入Internet上的语音通讯世界。会话发起协议(SIP)已被成功应用在网络电话(VoIP)中，并逐渐成为网络语音通讯的发展主流，当这项技术被广泛普遍应用的同时，也给了恶意团队强烈的动机去控制VoIP系统，进行恶意的犯罪活动。因此，这次的取证分析挑战设计了一系列问题，探讨SIP与RTP协议，以及所衍生的信息安全攻击事件。欢迎大家参与本次取证分析挑战，提交您的答案与方法，并享受挑战过程的乐趣。

从本次取证分析挑战开始，我们来自华语世界的分支团队（台湾团队的Julia Cheng，中国大陆团队的诸葛建伟，香港团队的Roland Cheung）将联合推出The Honeynet Project取证分析挑战中文版，提供简体中文版和繁体中文版的取证分析挑战内容，也将接受以中文撰写的提交解答（我们还是推荐华语世界的安全人士用英语参与The Honeynet Project取证分析挑战）。您可以从 "simplified Chinese"和"traditional Chinese"链接访问本次取证分析挑战的中文版内容。

挑战解答（请使用下面的提交解答模版）请在2010年6月30日之前通过 http://www.honeynet.org/challenge2010/ 提交。如果你有任何问题或询问，请联系 forensicchallenge2010@honeynet.org.
难度等级：中级
挑战内容:
第一部分
附件"logs_v3.txt"是一个静默被动部署的蜜罐系统所产生，因此任何连接到蜜罐系统的联机活动将被视为是异常的。此蜜罐系统被攻击者以一系列的扫描工具进行探测，这些行为被记录在logs_v3.txt 日志文件中。

• 蜜罐系统的IP位置，已经被"honey.pot.IP.removed" 所取代.如果需要该IP的地理信息,请选择你最喜欢的城市。
• MD5 hash 已被"MD5_hash_removedXXXXXXXXXXXXXXXX"所取代。
• 其他外部IP地址的某些字节，已用"X"取代。
• 日志记录文件中的电话号码某些位，已用"X"取代。
• 请假设日志记录中的时区为UTC。

1. 哪一种传输层协议被使用？ TCP或是UDP? (1分)
2. 由日志文件是否可推断攻击者采用NMAP对蜜罐系统进行一个简单的扫描？ 请解释原因。(1分)
3. (a) 判断攻击者采用哪些扫描工具，扫描蜜罐系统。(1分)
   (b) 在这个挑战中，攻击者尝试使用一个工具套件进行一系列的扫描，请指出工具套件名称？ 这个工具套件的开发者是谁？
   (c) 其中有一个工具被用于扫描小范围的 SIP分机号码 (a small subset of extensions)，请指出其中的分机号码是什么？ 以及为何攻击者使用这个工具? (2分)
4. (a) 多少个分机号码被扫描？ 这些被扫描的分机号码都是数字吗？或包括一些英文字符？请列出 (2分)
   (b) 请根据下列条件，将分机号码分类，并解释你的方法。
   - 出现在蜜罐系统中，并且需要进行验证的分机号码 (2分)
   - 出现在蜜罐系统中，不需要验证的分机号码 (2分)
   - 没有出现在蜜罐系统中的分机号码 (2分)
5. (a) 攻击者是否使用了真实的SIP客户端？如果有，请指出SIP客户端何时被使用？并说明判断方法。(1分)
6. 列出以下数据，包含相关的地理地址信息 (Geo-Location)
   (a) 来源IP地址 (1分)
   (b) 尝试拨出的真实电话号码 (2分)
7. 用图表或动画，画出简单的时间与事件对照图，说明何时，发生的事件与目的，以及攻击来源。 (5 分)
8. 假设这是一个真实案例，请写两段内容简要说明此案例。撰写时，请假设读者没有IT安全与VoIP使用经验。
   第一段：请用简单的文句叙述整个事件与时间点，以及可能的动机与攻击过程。(3分)
   第二段：针对此案例，请提出应对措施，需考虑其优先级与迫切性。并提出有效的解决方案或架构，防范此类攻击事件再次发生。(3分)

第二部分
"Forensic_challenge_4.pcap" 为VoIP网络报文记录。本份报文记录由 Honeynet Project 成员所提供，希望藉由报文记录的分析，给与参与者一个机会，学习网络报文分析技巧。请分析pcap档案，并回答下列问题：

1. Pcap包含4个网络协议 (VoIP与其他三个)，请列出这些网络协议，并简单描述其目的。(4 分)
2. (a) RTP流使用哪个编码器(Codec)? (1分)
   (b) 取样时间是多少微秒(milliseconds) ? (1分)
3. 攻击者采用何种方法取得系统控制权？ 列出可能的防范方式 (2分)
4. 攻击者获得了什么信息 (2分)
5. PCAP档中隐藏了一个奖分(bonus)！[提示1: 你无法通过阅览整个PCAP档而获得答案] [提示2: 它是一个城市，在这个城市也有Honeynet Project的一个分支团队]
   (a) 找出Bonus，并描述你是如何找到的。(10 分)
   (b) 如果双方使用VOIP通话， VOIP 报文在传递过程中，经过一个不可信任的网络，例如：无线网络或是因特网，而导致恶意攻击者收集到和这条问题相似的PCAP，你认为这是一个安全问题吗？ 为什么？ (3分)
   (c) 网络报文分析软件Wireshark，有一个选项"Use RTP timestamp"，有何用途 ? (2分)
6. 当VOIP报文行经不可信任网络时，有何技术或是协议可使用来保护RTP流的机密性(Confidentiality)? (3分)

第三部分

1. 什么是 RTP注入（RTP injection），描述运作过程。何种条件下，RTP注入 会成功运作? (2分)
2. 解释SIP password digest 如何被截获或是被窃取。这是否是一个安全问题？为什么？(2分)
3. DDOS 是否会威胁到VOIP系统？DDOS攻击会妨害电话系统的哪些功能要求? (2分)

Download:
logs_v3.txt Sha1: 7ea928e8f4af51bcdbef523fd0355714d92e7a47
Forensic_challenge_4.pcap Sha1: 551a8eecb5835421e257d51058de3e3e9f654b94

Share: