miércoles, 20 de julio de 2011

Challenge 7 of the Forensic Challenge 2011 - HoneyNet.org


Unos días después de anunciar los ganadores del reto 7 de honeynet me ha llegado el fabuloso premio que pueden ver en la imagen. La verdad el premio es compartido con Camilo Zapata (duma) ya que participamos juntos en el reto, pero como usé mi dirección de correo, me quedo con el :P 


El reto consistió en un análisis forense a una maquina Linux comprometida por el servicio Exim y aunque personalmente no quede muy a gusto con el resultado, nos divertimos analizando las imágenes de memoria del sistema.


En el paper final pueden encontrar las respuestas a las preguntas del reto y unos comentarios sobre nuestros puntos de vista, pues en las imágenes a analizar encontramos evidencia del proceso de construcción del reto, por lo tanto lo descartamos como evidencia de intrusión, cosas como:

- La maquina que recolectaba la imagen (dd) con la que jugamos no podía ser la maquina del intruso (según el timeline), sin embargo el primer puesto dijo que eso era cierto.

-La maquina del intruso correspondía a una sola IP, la segunda IP parecian ser pruebas contra el reto (pruebas de diseño), en nuestro concepto estos fueron pequeños errores en la preparación del reto, sin embargo en el paper ganador estos datos se asociaron a los intrusos.

Para validar el alcance de la explotación de los dos exploits usados, investigamos el tiempo de acceso a las librerias de los binarios ejecutados, esto nos daba la certeza del momento exacto y si hubo o no intrusión.


Eso es todo, con este post los quiero animar a participar en los próximos retos del proyecto HoneyNet, que si bien no esperamos ganar premios significativos ($$), es un escenario propicio para aprender.

Los solucionarios al reto 7 de forense los pueden descargar de:

Update: Solucionario en Español:
http://www.openbsdcolombia.org/honeynet/RetoForense7-Honeynet-Fernando_Y_Camilo.pdf

Hasta la próxima!

Entradas populares