Challenge 4 of the Forensic Challenge 2010 - VoIP (simplified Chinese)

Challenge 4 of the Forensic Challenge 2010 - VoIP

取证分析挑战4 – 网络电话 - (由来自澳大利亚团队的Ben Reardon和来自挪威团队的 Sjur Eivind Usken提供)将带您进入Internet上的语音通讯世界。会话发起协议(SIP)已被成功应用在网络电话(VoIP)中,并逐渐成为网络语音通讯的发展主流,当这项技术被广泛普遍应用的同时,也给了恶意团队强烈的动机去控制VoIP系统,进行恶意的犯罪活动。因此,这次的取证分析挑战设计了一系列问题,探讨SIP与RTP协议,以及所衍生的信息安全攻击事件。欢迎大家参与本次取证分析挑战,提交您的答案与方法,并享受挑战过程的乐趣。

从本次取证分析挑战开始,我们来自华语世界的分支团队(台湾团队的Julia Cheng,中国大陆团队的诸葛建伟,香港团队的Roland Cheung)将联合推出The Honeynet Project取证分析挑战中文版,提供简体中文版和繁体中文版的取证分析挑战内容,也将接受以中文撰写的提交解答(我们还是推荐华语世界的安全人士用英语参与The Honeynet Project取证分析挑战)。您可以从 "simplified Chinese""traditional Chinese"链接访问本次取证分析挑战的中文版内容。

挑战解答(请使用下面的提交解答模版)请在2010年6月30日之前通过 http://www.honeynet.org/challenge2010/ 提交。如果你有任何问题或询问,请联系 forensicchallenge2010@honeynet.org.
难度等级:中级
挑战内容:
第一部分
附件"logs_v3.txt"是一个静默被动部署的蜜罐系统所产生,因此任何连接到蜜罐系统的联机活动将被视为是异常的。此蜜罐系统被攻击者以一系列的扫描工具进行探测,这些行为被记录在logs_v3.txt 日志文件中。

  • 蜜罐系统的IP位置,已经被"honey.pot.IP.removed" 所取代.如果需要该IP的地理信息,请选择你最喜欢的城市。
  • MD5 hash 已被"MD5_hash_removedXXXXXXXXXXXXXXXX"所取代。
  • 其他外部IP地址的某些字节,已用"X"取代。
  • 日志记录文件中的电话号码某些位,已用"X"取代。
  • 请假设日志记录中的时区为UTC。
  1. 哪一种传输层协议被使用? TCP或是UDP? (1分)
  2. 由日志文件是否可推断攻击者采用NMAP对蜜罐系统进行一个简单的扫描? 请解释原因。(1分)
  3. (a) 判断攻击者采用哪些扫描工具,扫描蜜罐系统。(1分)
    (b) 在这个挑战中,攻击者尝试使用一个工具套件进行一系列的扫描,请指出工具套件名称? 这个工具套件的开发者是谁?
    (c) 其中有一个工具被用于扫描小范围的 SIP分机号码 (a small subset of extensions),请指出其中的分机号码是什么? 以及为何攻击者使用这个工具? (2分)
  4. (a) 多少个分机号码被扫描? 这些被扫描的分机号码都是数字吗?或包括一些英文字符?请列出 (2分)
    (b) 请根据下列条件,将分机号码分类,并解释你的方法。
    - 出现在蜜罐系统中,并且需要进行验证的分机号码 (2分)
    - 出现在蜜罐系统中,不需要验证的分机号码 (2分)
    - 没有出现在蜜罐系统中的分机号码 (2分)
  5. (a) 攻击者是否使用了真实的SIP客户端?如果有,请指出SIP客户端何时被使用?并说明判断方法。(1分)
  6. 列出以下数据,包含相关的地理地址信息 (Geo-Location)
    (a) 来源IP地址 (1分)
    (b) 尝试拨出的真实电话号码 (2分)
  7. 用图表或动画,画出简单的时间与事件对照图,说明何时,发生的事件与目的,以及攻击来源。 (5 分)
  8. 假设这是一个真实案例,请写两段内容简要说明此案例。撰写时,请假设读者没有IT安全与VoIP使用经验。
    第一段:请用简单的文句叙述整个事件与时间点,以及可能的动机与攻击过程。(3分)
    第二段:针对此案例,请提出应对措施,需考虑其优先级与迫切性。并提出有效的解决方案或架构,防范此类攻击事件再次发生。(3分)

第二部分
"Forensic_challenge_4.pcap" 为VoIP网络报文记录。本份报文记录由 Honeynet Project 成员所提供,希望藉由报文记录的分析,给与参与者一个机会,学习网络报文分析技巧。请分析pcap档案,并回答下列问题:

  1. Pcap包含4个网络协议 (VoIP与其他三个),请列出这些网络协议,并简单描述其目的。(4 分)
  2. (a) RTP流使用哪个编码器(Codec)? (1分)
    (b) 取样时间是多少微秒(milliseconds) ? (1分)
  3. 攻击者采用何种方法取得系统控制权? 列出可能的防范方式 (2分)
  4. 攻击者获得了什么信息 (2分)
  5. PCAP档中隐藏了一个奖分(bonus)![提示1: 你无法通过阅览整个PCAP档而获得答案] [提示2: 它是一个城市,在这个城市也有Honeynet Project的一个分支团队]
    (a) 找出Bonus,并描述你是如何找到的。(10 分)
    (b) 如果双方使用VOIP通话, VOIP 报文在传递过程中,经过一个不可信任的网络,例如:无线网络或是因特网,而导致恶意攻击者收集到和这条问题相似的PCAP,你认为这是一个安全问题吗? 为什么? (3分)
    (c) 网络报文分析软件Wireshark,有一个选项"Use RTP timestamp",有何用途 ? (2分)
  6. 当VOIP报文行经不可信任网络时,有何技术或是协议可使用来保护RTP流的机密性(Confidentiality)? (3分)

第三部分

  1. 什么是 RTP注入(RTP injection),描述运作过程。何种条件下,RTP注入 会成功运作? (2分)
  2. 解释SIP password digest 如何被截获或是被窃取。这是否是一个安全问题?为什么?(2分)
  3. DDOS 是否会威胁到VOIP系统?DDOS攻击会妨害电话系统的哪些功能要求? (2分)

Download:
logs_v3.txt Sha1: 7ea928e8f4af51bcdbef523fd0355714d92e7a47
Forensic_challenge_4.pcap Sha1: 551a8eecb5835421e257d51058de3e3e9f654b94

Share:

Attachment Size
logs_v3.txt 1.92 MB
Forensic_challenge_4.pcap 1.13 MB
[your email]_Forensic Challenge 2010 - Challenge 4 - Submission Template.doc 98 KB
[your email]_Forensic Challenge 2010 - Challenge 4 - Submission Template.odt 26.7 KB
AttachmentSize
[your email]_Forensic Challenge 2010 - Challenge 4 - Submission Template - Simplified Chinese.doc112 KB
[your email]_Forensic Challenge 2010 - Challenge 4 - Submission Template - Simplified Chinese.odt29.82 KB