Challenge 4 of the Forensic Challenge 2010 - VoIP (traditional Chinese)

鑑識分析挑戰4-網路電話(由來自澳大利亞團隊的Ben Reardon和來自挪威團隊的 Sjur Eivind Usken提供)將帶您進入Internet上的語音通訊世界。會話發起協定(SIP)已被成功應用在網路電話(VoIP)中,並逐漸成為網路語音通訊的發展主流,當這項技術被廣泛普遍應用的同時,也給了惡意團隊強烈的動機去控制VoIP系統,進行惡意的犯罪活動。因此,這次的鑑識分析挑戰設計了一系列問題,探討SIP與RTP協議,以及所衍生的資訊安全攻擊事件。 歡迎大家參與本次鑑識分析挑戰,提交您的答案與方法,並享受挑戰過程的樂趣。

從本次鑑識分析挑戰開始,我們來自華語世界的分支團隊,台灣團隊的鄭毓芹(Julia Cheng),中國大陸團隊的諸葛建偉,香港團隊的張文強(Roland Cheung)將聯合推出The Honeynet Project鑑識分析挑戰中文版,提供簡體中文版和繁體中文版的鑑識分析挑戰內容,也將接受以中文撰寫的提交解答(我們還是推薦華語世界的安全人士用英語參與The Honeynet Project鑑識分析挑戰)。

歡迎透過下列鏈結訪問:英文版內容,簡體中文版內容

您的挑戰解答(請使用下面的提交解答範本)請在2010年6月30日之前透過http://www.honeynet.org/challenge2010/ 提交。如果你有任何問題或詢問,請聯繫 forensicchallenge2010@honeynet.org 。
難度等級:中級

挑戰內容:

第一部分:
附件"logs.txt"是一個被動式且無廣播的誘捕系統所產生,因 此任何連接到誘捕系統的線活動將被視為是異常的。此誘捕系統被攻擊者以一系列的掃描工具進行探測,這些行為被記錄在logs.txt 日誌檔。

    注意:
  • 誘捕系統的IP位置,已經被"honey.pot.IP.removed" 所取代
  • MD5 hash 已被"MD5_hash_removedXXXXXXXXXXXXXXXX"所取代
  • 其他外部IP位址,已用"X"取代
  • 日誌記錄中的電話號碼, 已用"X"取代
  • 請假設日誌記錄中的時區為UTC
  1. 哪一種網路協定 (Protocol)被使用? TCP或是UDP? (1分)
  2. 由日誌檔是否可推斷攻擊者採用NMAP對誘捕系統進行一個簡單的掃描? 請解釋原因。(1分)
  3. (a)判斷攻擊者採用哪些掃描工具,掃描誘捕系統。(1分)
    (b)在這個挑戰中,攻擊者嘗試使用一個工具套件進行一系列的掃描,請指出工具套件名稱?這個工具套件的開發者是誰?(1分)
    (c)其中有一個工具被用於掃描小範圍的 SIP extensions (a small subset of extensions),請指出其中的extensions是什麼? 以及為何攻擊者使用這個工具? (2分)
  4. (a)多少個extensions被掃描?多少個extensions被掃描? 這些被掃描的extensions是數字或是名字?請列出 (2分)
    (b)請根據下列條件,將extensions分類,並解釋你的方法
    --出現在誘捕系統中,並且需要進行驗證的extensions (2分)
    --出現在誘捕系統中,不需要驗證的extensions (2分)
    --沒有出現在誘捕系統中的extensions (2分)
  5. 攻擊者是否使用了真實的SIP用戶端?如果有,請指出SIP用戶端何時被使用?並說明判斷方法。(1分)
  6. 列出以下資料,包含相關的地理位址資訊 (Geo-Location)
    (a) 來源IP地址 (1分)
    (b) 嘗試撥出的真實電話號碼 (2分)
  7. 問題7:用圖表或動畫,畫出簡單的時間與事件對照圖,說明何時,發生的事件與目的,以及攻擊來源。 (5 分)
  8. 問題8:假設這是一個真實案例,請寫兩段內容簡要說明此案例。撰寫時,請假設讀者沒有IT安全與VoIP使用經驗。
    第一段:請用簡單的文句敍述整個事件與時間點,以及可能的動機與攻擊過程。(3分)
    第二段:針對此案例,請提出應對措施,需考慮其優先順序與迫切性。並提出有效的解決方案或架構,防範此類攻擊事件再次發生。(3分)

第二部分:
"Forensic_challenge_4.pcap" 為VoIP網路封包記錄。這份封包記錄由 Honeynet Project 成員所提供,希望藉由封包記錄的分析,給與參與者一個機會,學習網路封包分析技巧。請分析pcap檔案,並回答下列問題:

  1. Pcap包含4個網路協定 (VoIP與其他三個),請列出這些網路協定,並簡單描述其目的。(4 分)
  2. (a)RTP串流使用哪個編碼器 (Codec)? (1分)
    (b)取樣時間是多少微秒 (milliseconds) ? (1分)
  3. 攻擊者採用何種方法取得系統控制權? 列出可能的防範方式 (2 分)
  4. 攻擊者獲得了什麼資訊 (2分)
  5. PCAP檔中隱藏了一個獎分(bonus)!
    [提示1: 你無法透過閱覽整個PCAP檔而獲得答案] [提示2: 它是一個城市,也是Honeynet Project其中一個支會]
    (a)請找出Bonus,並描述你是如何找到的。(10 分)
    (b)如果雙方使用VOIP通話,VOIP 封包在傳遞過程中,經過一個不可信任網路( untrusted network),例如:無線網路或是網際網路,而導致惡意攻擊者收集到和這條問題相似的PCAP,你認為這是一個安全問題嗎? 為什麼? (3分)
    (c)網路封包分析軟體Wireshark,有一個選項 "Use RTP timestamp",有何用途 ? (2分)
  6. 當VOIP封包行經不可信任網路時,有何技術或是協定可使用來保護RTP串流的機密性 (Confidentiality)? (3分)

第三部分:

  1. 什麼是 RTP injection,描述運作過程。何種條件下,RTP Injection 會運作成功? (2分)
  2. 解釋SIP password digest 如何被截獲或是被竊取。這是否是一個安全問題?為什麼?(2分)
  3. DDOS 是否會威脅到VOIP系統?DDOS攻擊會妨害電話系統的哪些功能要求? (2分)
AttachmentSize
[your email]_Forensic Challenge 2010 - Challenge 4 - Submission Template - Traditional Chinese.doc132 KB
[your email]_Forensic Challenge 2010 - Challenge 4 - Submission Template - Traditional Chinese.odt22.36 KB
logs_v3.txt1.92 MB
Forensic_challenge_4.pcap1.13 MB