Join us for the Honeynet Workshop 2024: May 27th–29th, Copenhagen, Denmark

鑑識分析挑戰 6:分析惡意編碼 PDF 檔案

01 Nov 2010 Roland Cheung challenge forensic-challenges hong-kong malware pdf traditional-chinese
鑑識分析挑戰 6:分析惡意編碼 PDF 檔案 - (由來自馬來西亞團隊的Mahmud Ab Rahman和Ahmad Azizan Idris提供) 利用含惡意編碼 PDF檔案進行的典型攻擊。 請在2010年11月30日星期二之前在 https://www.honeynet.org/challenge2010/ 透過我們的表格 (請使用 [MS word解答範本](/files/[your%20email]_Forensic%20Challenge%202010%20-%20Challenge%206%20-%20Submission%20Template - Traditional Chinese.doc) 或 [Open Office解答範本](/files/[your%20email]_Forensic%20Challenge%202010%20-%20Challenge%206%20-%20Submission%20Template - Traditional Chinese.odt)) 提交您的挑戰解答。結果約在12月的第三個星期公佈。) 難度等級:中級 歡迎透過下列鏈結訪問:英文版內容 挑戰內容: PDF 格式是在線文件交換的業界標準 (de facto standard)。由於它的普及性,因此亦吸引了罪犯利用它來向信任的使用者傳播惡意程式。在很多攻擊工具中已經包含了建立惡意編碼 PDF檔案的功能來散播惡意程式。如果使用者對開啟 PDF 檔案缺乏警覺性,惡意編碼 PDF檔案會是一個頗成功的攻擊手段。 在網路封包記錄 lala.pcap 內藏有關於一個典型的惡意編碼 PDF檔案。這個封包記錄了一個使用者開啟了一個已被入侵的網頁,然後被重新轉向去下載一個惡意編碼 PDF檔案。當瀏覽器內的PDF插件開啟PDF時,沒有安裝修補程式的Adobe Acrobat Reader會被攻擊,結果在使用者的電腦上無聲無色地下載並安裝惡意程式。 在這次事故中包含了多少個 URL 路徑?請列出找到的URL 路徑。(1分) 在PCAP檔案內,你能找到什麼程式碼?請解釋這些程式碼做了什麼。 (2分) 在PCAP檔案內,你能找到什麼檔案嗎?若找到任何檔案,請利用zip密碼保護(密碼:infected)的壓縮檔案方式,將檔案命名為:[your email]_Forensic Challenge 2010 – Challenge 6 – Extracted Files.zip並提交到https://www.honeynet.org/challenge2010/。 在PDF檔案內包含多少個物件?(1分) 請利用PDF 字典及物件參考詳細解釋PDF檔案的流程結構。(1分) 有多少個過濾機制應用在物件串流,它們是什麼?請解釋你如何將串流解壓。 哪個物件串流可能藏有惡意編碼內容?請列出該物件及解釋所使用的隱匿技術 (obfuscation technique(s))。(3分) 在PDF檔案內包含了什麼攻擊?哪一個攻擊能成功執行並觸發漏洞?請在答案上提供一些相應的解釋。 (4分) 在PDF檔案內包含了什麼負載 (payloads)?如果有,請列出及解釋它們做了什麼,那些負載(payload)會被執行?(2分) 對於PDF 格式結構的理解,請解釋在開啟 PDF 檔案時,我們能如何啟動其他攻擊 (2分) 獎勵分:

The Honeynet Project 鑑識分析挑戰中文版啟航

02 Jun 2010 Roland Cheung challenge forensic-challenge hong-kong traditional-chinese
The Honeynet Project 是一個國際知名的開源資訊安全研究團隊,致力於提升Internet的安全。鑑識分析挑戰(Forensic Challenge)是 The Honeynet Project 向安全社區推出的一個重要專案,其目的是讓安全社區有機會能夠分析從 Internet 上捕獲的實際攻擊並分享他們的調查結果,通過參與鑑識分析挑戰,安全人士和團隊不僅可以瞭解最新的 Internet 安全威脅,也能學習到如何對它們進行分析,更好的是,他們還可以從其他提交者的分析結果和過程中,學習到分析攻擊的新工具和新技術。而最好的是,鑑識分析挑戰中的攻擊都是在我們的成員從 Internet 上野外捕獲到的真實攻擊。 The Honeynet Project 在幾年前成功舉辦Scan of the month 鑑識分析挑戰之後,在2010年開始重啟鑑識分析挑戰項 目,將包含對最新的作業系統和服務的伺服器端攻擊、用戶端攻擊、VoIP攻擊、Web應用攻擊等一系列的攻擊場景。鑑識分析挑戰歡迎安全社區人士積極參與,並將對最好的3個提交解答送出獎品。 我們的成員也將提供一份解答樣例,以公開的最新工具來分析挑戰內容。 然而可能由於語言壁壘的問題,華語世界安全社區很少參與到 The Honeynet Project 的鑑識分析挑戰中。在墨西哥的 The Honeynet Project 年會之後,我們來自華語世界的分支團隊(臺灣團隊的Julia Cheng,中國大陸團隊的諸葛建偉,香港團隊的Roland Cheung,新加坡團隊的Eugene Teo)將聯合推出The Honeynet Project鑑識分析挑戰中文版,與英文版採用同樣的時間安排並行,提供簡體中文版和繁體中文版的鑑識分析挑戰內容,也將接受以中文撰寫的提交解答(當然我們還是推薦華語世界的安全人士用英語參與 The Honeynet Project 鑑識分析挑戰),對中文提交的解答,我們也將評出最佳解答, 並提供獎勵。我們希望借此機會讓華語世界的安全人士更積極的參與 The Honeynet Project 以及世界開源安全社區的活動,獲得更多的收穫。 2010 年第四次挑戰(中文版的第一次)已於6月1日在我們的鑑識分析挑戰網站上發佈,我們將有1個月的時間接受提交解答,提交截止時間為香港時間 2010年6月30日23:59。我們預計將在2010年7月21日發佈結果,The Honeynet Project 將對最好的3個英文提交解答進行獎勵,也將對最好的中文提交解答進行獎勵。 期待香港及華語世界的人士參與,謝謝!