Network Forensics #3 Puzzle 6 問題

Network Forensics #3 Puzzle 6 の問題とキャプチャファイルです。

問題ファイルは削除しました。

Ann Dercover is after SaucyCorp’s Secret Sauce recipe. She’s been trailing the lead developer, Vick Timmes, to figure out how she can remotely access SaucyCorp’s servers. One night, while conducting reconnaissance, she sees him log into his laptop (10.10.10.70) and VPN into SaucyCorp’s headquarters.

アン・ダーカバーは SaucyCorp の秘密のソースレシピを探していました。彼女はサーバにリモートからアクセスする方法を探しており、開発リーダの Vick Timm 監視していました。ある夜、彼女が調査をしていると彼が SaucyCorp の本部にある彼の PC(10.10.10.70)へVPNログインするのを見ました。

Leveraging her connections with international hacking organizations, Ann obtains a 0-day exploit for Internet Explorer and launches a client-side spear phishing attack against Vick Timmes. Ann carefully crafts an email to Vick containing tips on how to improve secret sauce recipes and sends it. Seeing an opportunity that could get him that Vice President of Product Development title (and corner office) that he’s been coveting, Vick clicks on the link. Ann is ready to strike…

アンは国際的なハッカー組織の協力で、Internet Explorer の 0-day exploit を手に入れ Vick Timme に対してクライアントサイドのスピアフィッシング攻撃を開始しました。アンは注意深く秘密のソースレシピの改善点についてメールを作成し Vick へ送ります。なぜなら彼は製品開発賞とそれに伴う個室を望んでおり、Vick はリンクをクリックしました。アンは攻撃の準備ができています。

You are the forensic investigator. Your mission is to analyze the packet capture containing Ann’s exploit, build a timeline, and submit your evidence including…

あなたはフォレンジック調査官です。あなたの役割はアンの Exploit を含むキャプチャデータを解析し、タイムラインを作成し、エビデンスを含めて提出することです。

1. What was the full URI of Vick Timmes’ original web request? (Please include the port in your URI.)
Vick Timme が送った元の完全なURIはなんですか？(ポートも含めてください)

2. In response, the malicious web server sent back obfuscated JavaScript. Near the beginning of this code, the attacker created an array with 1300 elements labeled “COMMENT”, then filled their data element with a string. What was the value of this string?
応答として悪意あるウェブサーバは難読化された Javascript を送りました。このコードが実行されるあたりで、攻撃者は COMMENT とラベルされた1300の要素を持つ配列を作成し、配列にはすべて文字が入力されました。その文字列はなんですか？

3. Vick’s computer made a second HTTP request for an object.
        a. What was the filename of the object that was requested?
        b. What is the MD5sum of the object that was returned?
VickのコンピュータはHTTPリクエストを送信しました。
        a.そのリクエストされたオブジェクトのファイル名はなんですか？
        b.取得したオブジェクトの MD5 はなんですか？

4. When was the TCP session on port 4444 opened? (Provide the number of seconds since the beginning of the packet capture, rounded to tenths of a second. ie, 49.5 seconds)
いつ TCP 4444 のセッションは開始されましたか？
(パケットキャプチャ開始時からの時間で、10分の1秒で丸めてください)

5. When was the TCP session on port 4444 closed? (Provide the number of seconds since the beginning of the packet capture, rounded to tenths of a second. ie, 49.5 seconds)
いつ TCP 4444 のセッションはクローズしましたか？
(パケットキャプチャ開始時からの時間で、10分の1秒で丸めてください)

6. In packet 17, the malicious server sent a file to the client.
        a. What type of file was it? Choose one:
            Windows executable
            GIF image
            PHP script
            Zip file
            Encrypted data
        b. What was the MD5sum of the file?
パケットの17で悪意のサーバはクライアントにファイルを送信しました。
        a. どんなタイプのファイルですか？下記から選んでください。
            ウィンドウズ実行ファイル
            GIFファイル
            PHPスクリプト
            ZIPファイル
            暗号データ
        b. そのファイルの MD5 ハッシュは？

7. Vick’s computer repeatedly tried to connect back to the malicious server on port 4445, even after the original connection on port 4444 was closed. With respect to these repeated failed connection attempts:
Vick のコンピュータは 4444 ポートでの接続をクローズした後、悪意あるサーバへ何度も 4445 ポートで通信を試みました。この複数の失敗について：

        a. How often does the TCP initial sequence number (ISN) change?
           (Choose one.)
　　　　　どのぐらいの頻度でTCPのISNは変わりましたか？下記から選んでください。
            Every packet
            Every third packet
            Every 10-15 seconds
            Every 30-35 seconds
            Every 60 seconds
        b. How often does the IP ID change? (Choose one.)
           どのぐらいの頻度で IP ID は変わりましたか？下記から選んでください。
            Every packet
            Every third packet
            Every 10-15 seconds
            Every 30-35 seconds
            Every 60 seconds
        c. How often does the source port change? (Choose one.)
           どのぐらいの頻度で送信元ポートは変わりましたか？下記から選んでください。
            Every packet
            Every third packet
            Every 10-15 seconds
            Every 30-35 seconds
            Every 60 seconds

8. Eventually, the malicious server responded and opened a new connection. When was the TCP connection on port 4445 first successfully completed? (Provide the number of seconds since the beginning of the packet capture, rounded to tenths of a second. ie, 49.5 seconds)
最終的に、悪意あるサーバは応答を返して新しい接続を開始しました。4445 ポートの通信が最初に正常に完了したのはいつですか？

9. Subsequently, the malicious server sent an executable file to the client on port 4445. What was the MD5 sum of this executable file?
その後、悪意あるサーバは 4445 ポートで実行ファイルをクライアントへ送信しました。この実行ファイルの MD5 はなんですか？

10. When was the TCP connection on port 4445 closed? (Provide the number of seconds since the beginning of the packet capture, rounded to tenths of a second. ie, 49.5 seconds)
いつ、4445 ポートはクローズされましたか？