Demonstrações e Gabarito do Desafio Prático “Análise Forense em Tráfego de Rede”

Revelaremos agora a resposta do novo desafio SegInfo, publicado em 18 de outubro aqui no blog. Segue o que deve ser feito para desvendar o enigma:

Passo a passo:

Primeiramente é necessário abrir o arquivo “padaria.pcap” (hash MD5: 9c546f3e88828c6d3182fcd25f5304b2), utilizando um analisador de tráfego de rede, e para isso utilizaremos o Wireshark. Após abrir o arquivo, visualizamos todos os Frames Ethernet, no Frame 6 é onde começa a parte interessante do tráfego (protocolo MSNMS).

Para que possamos entender claramente tudo que aconteceu neste tráfego capturado, é necessário reconstruir a sessão de toda a conversa, como mostrado na imagem abaixo:

Desafio SegInfo

A partir deste ponto, conseguimos visualizar toda a conversa entre Guilherme Portão e Filipe Portão. Lembrando que nesta conversa Rafael está se passando por Guilherme, por tanto foi necessário dizer algumas coisas para que Filipe não duvidasse de que era seu neto.

No entanto analisando a conversa, conseguimos observar alguns pontos importantes.

Na imagem abaixo podemos ver qual foi a primeira mensagem que Rafael enviou para Filipe:

Desafio SegInfo

Já nesta próxima imagem, podemos ver como Rafael agiu para enviar um arquivo malicioso e fazer com que Filipe o executasse, assim como também podemos ver o início de uma codificação base64 que o protocolo MSNMS utiliza para omitir o nome do arquivo.

Desafio SegInfo

Para obtermos o nome do arquivo é necessário fazer uma conversão da base64 para ascii text, no Linux podemos utilizar o comando:

$ echo “Conteúdo Codificado em Base64” | base64 -d

Agora, sabemos que Rafael utilizou o nick Guilherme Portão, e que o primeiro contato com Filipe foi a frase: “Olá vovô, estou com muita saudade do senhor e de seus pães deliciosos.” E também possuimos o nome do arquivo.

Mas ainda precisamos descobrir o que aconteceu após Filipe executar tal aquivo. Para isso precisamos navegar em outras sessões do trágedo em análise, como mostrado na imagem abaixo:

Desafio SegInfo

Na sessão 3 encontramos um tráfego P2P entre dois IPs (172.31.31.117 e 172.31.31.148), então iniciamos uma análise exatamente como fizemos no Frame 6, mas desta vez no Frame 206, e a primeira informação que obtemos é:

Microsoft Windows [versão 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Todos os direitos reservados.

Onde identificamos o comprometimento do computador utilizado por Filipe, e na imagem abaixo podemos visualizar nossas duas últimas perguntas:

Desafio SegInfo

Respostas:
1. Qual nick Rafael utilizou para se passar pelo neto de Filipe?
R: Guilherme Portão
2. Qual foi o primeiro cometário na conversa entre os dois?
R: Olá vovô, estou com muita saudade do senhor e de seus pães deliciosos…
3. Qual o nome do arquivo que foi transferido durante a conversa?
R: simulador-padaria.exe (base64)
4. O que aconteceu após a transmissão de tal arquivo?
R: Rafael conseguiu acesso remoto na máquina de Filipe a partir do arquivo enviado (backdoor).
5. Onde Rafael encontrou o arquivo que contém a receita secreta?
R: C:/Receitas/Secretas/
6. Qual é a receita secreta?
R: 
* Ingredientes:

 

½ quilo de farinha de trigo 
15 g de fermento para pão 
15 g de sal 
20 g de açúcar 
1 colher (sopa) se margarina
* Modo de preparo:

 

Dilua o fermento em um copo de água morna com o açúcar.
Misture os outros ingredientes.
Amassa e levante, empurrando a massa para frente, com a palma da mão e dobrando-a sobre si mesma.
Se for necessário, coloque mais água e mais farinha.
A massa não deverá grudar nas mãos.
Deve ficar com aspecto leve e esponjoso.
Deixe descansar por duas horas.
A seguir, amasse novamente e prepare o pão, dando-lhe o formato desejado e coloque no tabuleiro untado.
Se estiver pegajosa, espalhe mais farinha por cima.
Deixe que ela descanse mais uma hora.
Aqueça o forno e pincele o pão com água antes de colocá-lo no forno.
Assar por 40 minutos mais ou menos.
Rendimento: 20 porções 
Tempo: 150 minutos 
Esperamos que os leitores tenham gostado desse nosso 1º desafio SegInfo, e se preparem, pois provavelmente novos desafios virão! Até a próxima! (: