Hacker-Contest WS16/17 Anmeldungsaufgabe Autor Almon, Ralf Version 1.0 Status Final Datum 07.10.2016
1 Allgemeines Für die Anmeldung zum Hacker-Contest gilt es dieses Semester eine Challenge aus dem Bereich Incident Reponse zu bestehen. Hilfreiche Programme zur Bearbeitung der Aufgabe sind Wireshark 1 und Volatility 2. 2 Aufgabe Die Aufgabe ist die Durchführung einer Analyse des gegebenen Netzwerk-Traffics und der gegebenen RAM- Inhalte. Die Lösung sollte die Fragen in Abschnitt 3 vollständig beantworten. Auch sollte eine Übersicht über die Tools, welche zur Lösung benutzt wurden, Teil der Abgabe sein. I. Szenario Ein Startup-Unternehmen hat gerade begonnen die ersten Schritte in Richtung eigener IT zu machen. Das Unternehmen besteht derzeit aus drei Personen: Walter(Geschäftsführer) Lennart(IT Admin) Kai (Mitarbeiter) Lennart hat angefangen die IT-Umgebung einzurichten. Als Plan zur Umsetzung hat er sich die folgende Struktur überlegt: 1 https://www.wireshark.org/ 2 http://www.volatilityfoundation.org/ Hacker-Contest WS16/17 Seite 2 von 6
Auf den Workstation kommt ein frisch installiertes Windows 7 (64bit) zum Einsatz. Der Webserver ist dafür da, um Dateien mit den Kollegen zu teilen. Auf ihm läuft unter anderem eine OwnCloud. Da der Webserver in einer DMZ steht hat der Admin keine Sorgen, dass Angreifer auf sein internes Netz zugreifen. Als Browser setzt der Admin in der Firma auf Firefox, weil der Internet Explorer mit einigen Features der OwnCloud nicht funktioniert. Da die Firma ganz am Anfang steht hat Lennart sich für den ClamWin- Virenscanner entschieden, da er so kostengünstig die Computer vor Viren und Trojanern schützen kann. Die Firewall läuft mit einer leichtgewichtigen Linux Distribution, auf der keine Dienste außer SSH laufen. Als guter Admin hat Lennart die Firewall bei der Einrichtung so konfiguriert, dass er sich nicht als root anmelden und nur per Zertifikat und Passwort als Benutzer anmelden kann. Die Firewall (iptables) erlaubt nur ausgehenden Traffic. Hacker-Contest WS16/17 Seite 3 von 6
Die Firewall ist wie folgt konfiguriert #Clear rules iptables --flush #Allow all packets from the internal network to the DMZ/Internet iptables -A FORWARD -o eth0 -i eth1 -s 10.0.0.1/24 -j ACCEPT #Allow the answers to reach the internal network iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT #Masquerade the packets with NAT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE II. Vorfallsbeschreibung Am 30.09.2016 bemerkt Walter eine verdächtige Datei C:\temp\l.txt auf seinem Computer. Diese hat folgenden Inhalt: 10.0.0.1 10.0.0.2 10.0.0.3 10.0.0.4 Walter informiert daraufhin Lennart, welcher einen Incident vermutet und sofort fachlichen Rat sucht. Da die Firma kein Ersatzequipment hat und ihre Computer nicht herunterfahren wollen, wurden lediglich RAM-Dumps der Maschinen gezogen. Glücklicherweise wurde auf der Firewall der komplette Traffic während des Incidents mitgeschnitten. Hacker-Contest WS16/17 Seite 4 von 6
III. Aufgabenstellung Bei der Beantwortung der folgenden Aufgaben sollte stets immer angegeben werden anhand welcher Informationen die Aussagen getroffen wurden. Vor allem Auszüge aus entsprechenden Tools und deren Interpretation sind wünschenswert. Auszüge aus Tools ohne Erklärung reichen nicht(!) aus. 1. Wie bewerten Sie die Planung des Netzwerkes 2. Wie bewerten Sie die Konfiguration der Firewall 3. Gibt es Anhaltspunkte, ob die Datei l.txt legitim oder bösartig ist a. Welchem Zweck dient die l.txt vermutlich b. Wie wurde die l.txt erstellt 4. Finden sich Anhaltspunkte die für eine Kompromittierung des Systems von Walter sprechen 5. Gibt es Hinweise, dass auch andere Systeme möglicherweise kompromittiert wurden 6. Gibt es eine Möglichkeit die Quelle einer möglichen Infektion zu identifizieren a. Gibt es eine Person, welche die Infektion begünstigt hat b. Wie hätte man die Infektion verhindern können 7. Welche verdächtigen Dateien können Sie ausmachen 8. Welche Dateien würden Sie versuchen auf den Dateisystemen suchen 9. Geben Sie alle verdächtigen Flows aus dem Netzwerktraffic an, die sie entdecken können. a. Welche Hosts, Protokolle und (wenn vorhanden) Ports sind verdächtig Bonus: 1. Geben Sie die den md5 der ersten sichtbaren verdächtigen Datei an. 2. Rekonstruieren Sie zeitlichen den Angriff a. Was passierte zuerst b. Wie waren die nächsten Schritte 3. Hätte eine andere Firewall-Einstellung den Angriff verhindern können 4. Welche Tools hat der Angreifer verwendet Hacker-Contest WS16/17 Seite 5 von 6
IV. Bearbeitungszeitraum Der Bearbeitungszeitraum beginnt mit der Veröffentlichung der Aufgabe. Er endet am 16.Oktober um 23:59 Uhr. Alle Abgaben die nach dieser Frist erfolgen, können leider nicht berücksichtigt werden. V. Abgabemodalitäten Die Abgabe erfolgt per E-Mail. Gruppenarbeit oder Gruppenabgaben sind nicht gestattet. Als Abgabe wird ein Bericht mit allen Informationen im PDF-Format erwartet. Es werden keine Informationen aus der E-Mail selbst berücksichtigt. Insbesondere der Name, die Matrikelnummer und die E-Mail Adresse sollte sichtbar im PDF-Dokument vermerkt sein. Den Bericht bitte an hackercontest@usd.de senden. Bei Fragen bzgl. der Aufgabenstellung bitte eine E-Mail an: hackercontest@usd.de. Hacker-Contest WS16/17 Seite 6 von 6