Forensic Challenge 2010

Challenge 1 - pcap attack trace - (provided by Tillmann Werner from the Giraffe Chapter) is to investigate a network attack. Send submissions (please use the MS word submission template or the Open Office submission template) forensicchallenge2010@honeynet.org no later then 17:00 EST, Monday, February 1st 2010. Results will be released on Monday, February 15th 2010. Small prizes will be awarded to the top three submissions.

Skill Level: Intermediate

The Challenge:
A network trace with attack data is provided. (Note that the IP address of the victim has been changed to hide the true location.) Analyze and answer the following questions:

1. Which systems (i.e. IP addresses) are involved? (2pts)
2. What can you find out about the attacking host (e.g., where is it located)? (2pts)
3. How many TCP sessions are contained in the dump file? (2pts)
4. How long did it take to perform the attack? (2pts)
5. Which operating system was targeted by the attack? And which service? Which vulnerability? (6pts)
6. Can you sketch an overview of the general actions performed by the attacker? (6pts)
7. What specific vulnerability was attacked? (2pts)
8. What actions does the shellcode perform? Pls list the shellcode. (8pts)
9. Do you think a Honeypot was used to pose as a vulnerable victim? Why? (6pts)
10. Was there malware involved? Whats the name of the malware? (We are not looking for a detailed malware analysis for this challenge) (2pts)
11. Do you think this is a manual or an automated attack? Why? (2pts)

Download:
attack-trace.pcap_.gz Sha1: 0f5ddab19034b2656ec316875b527d9bff1f035f

Chapter XVIII: Introduction, Classification and Implementation of Honeypots

This chapter discusses the basic aspects of Honeypots, how they are implemented in modern computer networks, as well as their practical uses and implementation in educational environments. This chapter covers the most important points regarding the characteristics of Honeypots and Honeynets. The implementation of Honeypots provides an answer to a common question posted by the field of information security and forensics: How to dissect the elements that make up an attack against a computer system. The chapter summarizes the different features and capabilities of Honeypots once they are set up in a production environment.

Pueden hacer el pedido directamente en IGI-Global con un descuento de Pre-Publicación o directamente en Amazon sin descuento

Oops, ya tenia un poco olvidado mi blog mucho trabajo e infinidad de cosas por hacer me quemaban el chip y no le daba bola al blog... pero de nuevo acá estoy.

Estuve 3 semanas en México pasando las fiestas con mi familia y amigos, ya me hacian falta unas vacaciones... las disfrute muchisimo, aunque creo que me faltaron mas días; en esas 3 semanas no pude recuperar los meses que estuve viviendo fuera de mi ciudad. Ya acercandose la hora de regresar empece la busqueda de vuelos, con la idea presente en que no lo encontraria a menos de $1,000 usd por la temporada y por los costos que en los últimos meses hemos visto todos... por suerte encontre un vuelo en aprox $600 usd (un solo viaje), el único detalle es que la conexión del vuelo sería en Nueva York... no me importo y lo compre, fué lo mas barato que encontre. Y bueno.. fueran muchas horas de viaje hasta Buenos Aires pero llegue! (gracias a la Tía Meche por su hospitalidad en la Gran Manzana)

De regreso al laburo, chequeando pendientes... cambiandome de apartamento, en fin... los últimos dias han estado un poquitín pesado, pero ahi la llevo... ya se va poniendo todo a la normalidad.

Ayer me avisaron que mi artículo para un libro sponsoreado por la Academia de la Fuerza Aerea de USA será publicado en Abril 2009, ahora esta en la fase de pre-prensa. Esto me pone muy feliz ya que será mi primera publicaciñon formal que tengo. El libro se llamará "Cyber Security and Global Information Assurance: Threat Analysis and Response Solutions", el brochure pueden verlo ACÁ y el sitio del libro http://tinyurl.com/baemfs. Mi capítulo hablo sobre Honeypots y Honeynets.

El Proyecto Honeynet se complace en anunciar que esta disponible para su descarga la version beta 1.3 de Honeywall, el mensaje a continuacion...

---

The Honeywall CDROM is a bootable CD that installs onto a hard drive and comes with all the tools and functionality for you to implement data capture, control, and analysis.

For more information, see: https://projects.honeynet.org/honeywall/ wiki or contact honeywall@public.honeynet.org

Tengo varias dias en Costa Rica y los chicos del Honeynet Costa Rica me dieron un trip al Volcan Irazú cerca de San Jose (Muchas gracias!). Los paisajes aca son bellisimos, todo verdee, el clima esta excelenteeeee!! El volcan Irazu esta enormee, me dijeron que la ultima actividad fue en los años 60 en donde nadie esperaba hace estuviera activo. Hasta la fecha ya no ha tenido actividad, y es uno de los lugares turisticos en donde sin duda alguna se tiene que visitar aca en CR.

A solo unos dias de que empiece el Workshop Anual del Proyecto Honeynet, ya nos encontramos en Costa Rica algunos miembros de Honeynet Proyect. Entre ellos estamos Einar Oftedal y Tor Inge Skaar de Norwegian Honeynet Project, Andre Gregio de Brazilian Honeynet Project Chapter, Jose Bogarin y Alonso Bogarin de Costa Rica Honeynet Project, Lance Spitzner que es el fundador del Proyecto Honeynet, y un servidor de Mexican Honeynet Project Chapter. Mañana martes y miercoles llegaran los demas 25 miembros de los demas Chapters, desafortunadamente 2 miembros cancelaron por cuestiones de trabajo. Será interesante estar 32 geeks de todo el mundo reunidosss

A solo unos cuantos dias de ir al Workshop Anual del Proyecto Honeynet que se llevará a cabo en San José, Costa Rica del 4 al 9 de Diciembre. Somos 34 asistentes los ya confirmados para el evento, de los cuales solo conozco a 2.. jajaja sera una muy buena oportunidad de charlar, intercambiar, escuchar y aprender de los demas miembros de la Alianza de Investigacion Honeynet.

Habra charlas chidas y podremos compartir las investigaciones que tenemos con los demas miembros, y mejor lo mas bonito es que todos vamos en el mismo canal: Honeypots & Honeynets. esperen noticias..!!

Pura Vidaaa!!!

Un dia antes del Congreso de Telemática la Plataforma SELF se lanzo en paralelo con Europa, India y America Látina, aqui en Ciudad Victoria le correspondio a Bea Busaniche de Fundacion ViaLibre hacer la presentación. El proyecto SELF (Science, Education and Learning in Freedom), financiado por la Unión Europea, es un proyecto internacional que planea proveer una plataforma para, colaborativamente, compartir y crear materiales libres para educación y capacitación en Software Libre y Estándares Abiertos.

SELF es

1. un repositorio con materiales de educación y capacitación libres sobre Software Libre y estándares abiertos 2. un ambiente de creación colaborativa para nuevos materiales

La presentación se transmitio por videoconferencia via Internet 2 a varias universidades.

Como toda la tarde la tendriamos libre, decidi llevar a Bea a unas cascadas que estan cerca de Victoria llamadas "Juan Capitan"... una de las maravillas naturales (sarcasmo!) de Cd Victoria. Fuimos Carlos, Bea, Jessica y Yo... lastima que no llevamos los trajes de baño, porque el agua estaba de lujo! El dia estaba especial... solecito, cervezas, buena platica.

El Jueves 6, inicio el 1er Congreso Internacional de Telemática en donde a las 3 pm iniciaban las charlas sobre Software Libre, Bea comenzo con su charla Software Libre y Estandares Abiertos, abordo el tema sobre la estandarización de OOXML como norma ISO asi tambien como las 4 libertades del Soiftware Libre, estuvo muuuy interesante la charla

A mi me toco a las 4.30 pm por parte del Proyecto Honeynet México, hubo varios detallitos como la imagen del proyector que no se alcanzaba a ver bien las topologías de Honeynets... pero bueno. Salio todo muy bien, tuve muy buenos comentarios de la charla y es lo que importa.

Muchas gracias a los organizadores del Congreso por la invitación!!

Por fin las fotos del 1er aniversario del Grupo de Usuarios de GNU/Linux de La Laguna llevado a cabo en la ciudad de Torreon, Coahuila.

Con la gente del GULAG

En la charla...

(cortesía crojas)

UPDATE: Reseña GULAG

Despues de varios días de ausencia, ya estoy de regreso en mi rancho. El Primer aniversario del GULAG fué todo un éxito. Estuvimos 3 ponentes invitados, Hugo dando la plática de nepenthes & Arania, Paola la charla "Vida libre aplicada", que por cierto me gusta mucho... en muchos aspectos que aborda en la charla me senti muy identificado, y un servidor dando la charla de Honeynets; y Guillermo con un Taller de Inkscape.

Muchas gracias a los organizadores por la invitación al evento, y por todas las atenciones que nos dieron antes, durante y despues del evento. La ciudad de Torreon me gusto mucho, tiene muchos lugares muy chidos. Esperemos que la ida a Cuatrocienegas ó Parral se haga realidad el próximo año para el segundo aniversario del GULAG. Me invitan nuevamente, ehh!!!

Fotos del Evento:

- de RIVE - de LinuxMan - de guivaloz

La próxima semana andaré en Torreón, Coahuila en el Primer aniversario del Grupo de Usuarios de GNU/Linux de La Laguna.

Hace unas cuantas semanas salio al aire la 3er Revista Bimestral Ciencia UAT, en donde al Proyecto Honeynet Mexico nos dieron la oportunidad de poder publicar un artículo llamado "Aplicaciones Prácticas de los Honeypots en la Protección y Monitoreo de Redes de Información". Me di la tarea de escanear el artículo para que lo vean como quedo.

Pueden descargar el pdf dando click en la imagen. (11 mb)

Tambien el artículo esta acá.

La version 1.2 de Honeywall ha sido liberada, ahora basado en FC6!! enseguida les paso el correo de Earl.

''The Honeynet Project and Research Alliance are excited to announce the release of Honeywall 1.2. This new version addresses a variety of bugs and adds new features, including

o Based on Fedora Core 6 o Newer version of Snort including VRT Ruleset & automated ruleset updates o Additional options for controlling the level of detail of data captured. o Build environment was updated to make it easier to build an entire roo from SVN (coming soon)

You can learn more at

HW 1.2 Download http://www.honeynet.org/tools/cdrom

HW 1.2 Manual http://www.honeynet.org/tools/cdrom/roo/manual

Bug Reporting https://bugs.honeynet.org (CDROM-roo-1.2)"

Cuando estuve a mediados de abril en el Ciclo de Conferencias en el auditorio de la UAMCAV (Universidad Autonoma de Tamaulipas) dando la conferencia del Proyecto Honeynet Mexico

Pedi a los administradores de PlanetaLinux que modificaran mi feed, ahora el feed que saldra en PL sera el de OpenSource, esto para que los lineamientos de cumplan.

Por otra parte, mi ponencia ha sido aceptada en el Congreso de la Frontera Sur que se llevara a cabo en la Ciudad de Chetumal, Q.Roo. Hablare sobre el Proyecto Honeynet Mexico, en donde en el CongresoFS 2005 fue donde nacio de este proyecto. Debido a compromisos personales, posiblemente no pueda quedarme los 3 dias que dura el congreso, haber que sucede.

Desde hace ya varias semanas el Proyecto Honeynet Mexico estamos colaborando con una firma de Antivirus con su headquarters en China y en forma de agradecimiento me enviaron una tablilla hecha de bamboo con una inscripcion china/ingles de las 36 Estrategias Chinas, escritas por Sun Tzu un militar chino del siglo VI. Estas estrategias hablan generalmente de como poder triunfar en un lucha sin combatir.

"Quien gana un combate es fuerte, quien gana antes de combatir, poderoso. La verdadera maestría es vencer sin combatir. Rendir al enemigo sin luchar es la cima de la perfección." Sun Tzu

Estuve una semana en Albuquerque, NM... en donde despues de aprox 4 meses que no veia a mis sobrinos y a mi hermana, por fin pude estar nuevamente con ellos. Me gusta estar con ellos, todo el rato tienen con una risa; imaginense un niño de 5 y una niña de 4 siempre tienen ocurrencias... como desde cuando... "Ian, cuando seas grande tendras pelitos ahí abajo!... Ahhh!! en los pies?" y Elena siempre de cariñosa, celandome cuando la Dariana se me acercaba. Ojala que en el verano puedan venir acá a Victoria, xq si no será hasta Diciembre cuando los vuelva a ver. Pude controlar mi fobia a las viboras, mi cuñado tiene unas cuantas... en la foto traigo una bebe piton de menos de un año de edad. Extrañe mucho a mi Chaparra!

Un dia... Chaparrita, mi suegra y Yo, llevamos a la Machita (mi cuñadita) a los juegos del estadio; es un poco desesperante, porque lo niños todo quieren!! me sirve mucho de practica porque algun dia estaran mis niños y asi ya no me desesperare muy facilmente. Al igual que mis sobrinos, la Machita tambien es todo un personaje... todo pregunta, de todo se da cuenta, todo quiere, en fin... la quiero mucho, pero... disfruto mucho hacerla enojar y hacer corajes

Tambien fuimos a La Pesca. Teniamos la espinita de la vez anterior que fuimos, donde el clima no nos favorecio mucho. Esta vez fue diferente, se tenia pronosticado que iba a estar nublado y con friecillo, pero no fue asi... todo lo contrario, muy soleado y el dia muy agradable. Me gusta mucho la playa, y mas si voy con mi Chaparrita (TE AMO!) Ya nos hacia falta una salida asi, vrd Chaparra? Esperemos que la proxima salida sea a Real de 14, minimo al Chorrito.... jajajaja

Despues de aproximadamente 2 años de andar de pata de perro en diferentes Congresos en Mexico y en el extranjero, por fin estuve como ponente en casa... en la UAMCAV en donde se organizó un Ciclo de Conferencias de Informática. Me senti muy agusto, ya que era la primera vez que daba una platica en la UAT, y que mejor en mi Facultad. La mayoria de los asistentes eran alumnos. En lo personal creo que falto un poco de promocion al evento, ya que ni siquiera lo anunciaron en la pagina web de la Facultad, pero bueno... al final de cuentas salio bien. Fuimos 5 ponentes, en donde me toco ser el tercero a la 1 pm. En mi platica habia un aprox de 80% de personas en el auditorio. Hable sobre Honeynets, mucha gente no sabia nisiquiera que existian, creo que pude despejarles la incognita a la mayoria de las personas que asistieron... jaja al menos eso percibi.

Gracias Chaparrita, por estar ahi conmigo, tu apoyo, amor y porras me dan mucha fortaleza de seguir escalando esos sueños que se han ido cocinando a lo largo de este tiempo... y lo que falta!! TE AMO!!

Aprovecho para pedirles una disculpa a los organizadores del FLISOL en Tepeaca, Puebla... ya que por motivos personales no podre asistir al evento. Muchas gracias Paulo Endeler por la invitacion.

He liberado el nuevo sitio del Proyecto Honeynet Mexico junto con un paper que será publicado en el Jornal de la Revista Científica de la UAT, asi como el Reporte Semestral que Honeynet Research Alliance nos pide a cada una de las instancias.

Muchas gracias a Blacknash por el theme, el CMS que se esta utilizando es Gekko !

Ya estoy de regreso en Victoria, y aquí estan las fotos del XII Simposium Internacional ISC que se realizo en el ITESM Campus Toluca. Aporte con una conferencia sobre Honeynet México qué fué con la que se inaguró el simposium; donde a pesar de que fue a las 9 de madrugada estuvo lleno el auditorio

También hubo otras conferencias muy interesantes como la del Dr. Issac Lorencez de Amenazas Web, la de David Jimenez de la UNAM, otra de unos perros robots aibo, y modelado de 3D, entre otras...

Era la primera vez que visitaba Toluca, y creanme que me enamore del clima de esa ciudad... lluvioso, nublado, friecillo... así quisiera que fuera el clima aqui en Victoria.

Le doy las gracias a la Ing. Rosa Elena por la invitación al Simposium y también a los organizadores por haber llevado a cabo esto y haberle echado todos los kilos durante los 2 dias del Simposium.

Ya esta todo listo para el viaje que realizaré a la Ciudad de Toluca en donde se llevará a cabo el XII Simposium Internacional ISC organizado por el ITESM Campus Toluca. Participaŕe con una ponencia y un Taller (Gracias por la invitación !)

Mi vuelo sale a las 7.50 pm de Monterrey el miércoles y estaré de regreso el viernes por la noche.

Me informan que Mexican Honeynet Project ya se encuentra en la fase de aprobación por parte del Honeynet Research Alliance en donde ya estamos listados en su página. El proceso fué un poco largo, ya que se requiere enviar toda la información necesaria, votación de todos los miembros de la Alianza, etc...

El Comite de Aprobación esta integrado por miembros destacados a nivel mundial en el area de Seguridad Informática. El tiempo de aprobación será de 6 meses.

Gracias a Lance y David por todo el apoyo que me han brindado durante este tiempo para que el proyecto forme parte de la Alianza.

Ultimamente he estado muy ocupado (escuela, cosas personales, trabajo, casa, etc...)por eso no habia posteado anteriormente. Todo va muy bien con el Proyecto (Mexican Honeynet Project), actualmente se esta elaborando el Plan de Trabajo que seguiremos, hay varios Congresos en puerta (algunos ya confirmados, otros por confirmar) en donde presentaremos mas a fondo el Proyecto.

Oficialmente MHP ya forma parte del Grupo de Seguridad de RedCUDI, es un paso muy grande ya que RedCUDI esta formado por muchas instituciones académicas del País y pues se le podrá dar mas presencia al proyecto. Algo muy importante es que posiblemente se instale una Honeynet en el backbone de Internet 2, todavia faltan ciertos asuntos meramente protocolarios para esto, pero ahi vamos...

El día de hoy estuve presente en la Reunión Ordinaria del Comite de Desarrollo de la Red del CUDI (Corporación Universitaria para el Desarrollo de Internet). El CUDI esta integrado por las universidades del país, de carácter privado, sin fines de lucro. Su misión es promover y coordinar el desarrollo de una red de telecomunicaciones de la más avanzada tecnología y amplia capacidad, enfocada al desarrollo científico y educativo en México. Ellos son los que manejan el proyecto de la red Internet 2 en México y busca impulsar el desarrollo de aplicaciones que utilicen esta red, fomentando la colaboración en proyectos de investigación y educación entre sus miembros.

En los aspectos generales de la orden del día, dí un pequeño abstract del Mexican Honeynet Project, los objetivos y beneficios para el MHP y CUDI; la idea es poder trabajar conjuntamente con la Organización y también con el Grupo de Seguridad. En la reunión estuvieron presentes miembros de la UNAM, ULSA, UACH, UAEH, CICESE, UAL, UDG, UANL, UAT, entre otros... Me pondré en contacto con la gente de la ULSA para poder armar un Plan de Trabajo y empezar con el pie derecho.

Somos una organización de investigación no lucrativa compuesta por profesionales de seguridad informática dedicada a temas de seguridad.

Es nuestra meta es aprender las herramientas, las técnicas, y los objetivos de la comunidad BlackHat, asi mismo compartir estas lecciones aprendidas. Se espera que nuestra investigación beneficiará a todos sus miembros y a la comunidad. Todo nuestro trabajo es VOLUNTARIO, utilizando OpenSource.

Necesitamos encontrar nuevas vulnerabilidades que existen en Internet, como podremos llevar a cabo esto? Pues sencillo... habilitar sistemas que puedan ser comprometidos por la comunidad BlackHat.

Damos la bienvenida a cualquier persona u organización que estén interesados en formar parte de la investigación y de las actividades del Mexican Honeynet Project.

Pues sali a las 12 de la noche de hoy rumbo a Puebla, despues de 14 horas de viaje por fin llegue a Puebla... (demasiado cansado el viaje) para las 2 de la tarde ya estaba en la central y organizadores del evento ya me estaban esperando ahi. Fuimos a la BUAP, sede del Encuentro.. me comi una rica torta.. jaja traia muchisima hambre.

Hoy en la noche va a haber una fiesta del ENLi con los asistentes y los ponentes en un antro, que segun esto esta muy nice... haber que tal. Ahorita me encuentro en el hotel y mas de rato saldremos al antrillo. No creo desvelarme mucho, porque mi ponencia es a las 10 de la mañana. Ya mañana subire las fotos desde la BUAP.

Veo en la pagina oficial del ENLi 2005 (Encuentro Nacional de Linux 2005) que mi ponencia de Honeypots ha sido aceptada! =o)

Este Congreso esta siendo organizado por el Grupo de Usuarios de Linux en Puebla. La sede del evento es en la Facultad de Ciencias de Computacion de la Benemerita Universidad Autonoma de Puebla. Los dias en que se llevara a cabo el Congreso son del 19 al 21 de Octubre del 2005. Pueden checar los precios y demas conferencias que habra en el pagina oficial del evento.

El Lunes 23 de Mayo di una Conferencia sobre Honeypots en el 1er Simposium de Sistemas Computacionales del Tecnologico de Cd Victoria. Hubo muchos participantes en la conferencia. Me puse un poco nervioso :/ pero bueno, creo que salio bien la conferencia.

La presentacion esta en linea en esta direccion: Click AQUI!

Tambien rife un libro entre los participantes, que por cierto se lo gano Alexis.

Ayer me confirmaron la fecha del Simposium que tendra el Tec en donde dare una conferencia. Hablare sobre los Honeypots.. que son, como se manejan, metodos para monitorearlos, etc... ya tengo casi listo la presentacion. Va haber mas ponencias, pero no se de que trataran. Haber que tal se pone... =o)