Honeynet Project

Forensic Challenge 2010

Challenge 1 - pcap attack trace - (provided by Tillmann Werner from the Giraffe Chapter) is to investigate a network attack. Send submissions (please use the MS word submission template or the Open Office submission template) forensicchallenge2010@honeynet.org no later then 17:00 EST, Monday, February 1st 2010. Results will be released on Monday, February 15th 2010. Small prizes will be awarded to the top three submissions.

Skill Level: Intermediate

The Challenge:
A network trace with attack data is provided. (Note that the IP address of the victim has been changed to hide the true location.) Analyze and answer the following questions:

1. Which systems (i.e. IP addresses) are involved? (2pts)
2. What can you find out about the attacking host (e.g., where is it located)? (2pts)
3. How many TCP sessions are contained in the dump file? (2pts)
4. How long did it take to perform the attack? (2pts)
5. Which operating system was targeted by the attack? And which service? Which vulnerability? (6pts)
6. Can you sketch an overview of the general actions performed by the attacker? (6pts)
7. What specific vulnerability was attacked? (2pts)
8. What actions does the shellcode perform? Pls list the shellcode. (8pts)
9. Do you think a Honeypot was used to pose as a vulnerable victim? Why? (6pts)
10. Was there malware involved? Whats the name of the malware? (We are not looking for a detailed malware analysis for this challenge) (2pts)
11. Do you think this is a manual or an automated attack? Why? (2pts)

Download:
attack-trace.pcap_.gz Sha1: 0f5ddab19034b2656ec316875b527d9bff1f035f

Tillmann & Felix de Giraffe Honeynet Chapter nos envian una animación de como se veria el Conficker.C y sus relaciones funcionales. Las esferas amarillas son funciones en el interior del Conficker, los loops verdes son funciones importados de Dlls y lo rojo son saltos en otras funciones.

HP blog
www1

Fue liberado el nuevo KYE sobre Conficker

The Honeynet Project is excited to announce the release of Know Your Enemy: Containing Conficker. In this paper we present several potential methods to contain Conficker. The approaches presented take advantage of the way Conficker patches infected systems, which can be used to remotelydetect a compromised system. Furthermore, we demonstrate various methods to detect and remove Conficker locally and a potential vaccination tool is presented. Finally, the domain name generation mechanism for all three Conficker variants is discussed in detail and anoverview of the potential for upcoming domain collisions in version .C is provided. Tools for all the ideas presented are freely available for download including source code. This paper was authored by Tillmann Werner and Felix Leder.

In addition, as a result of this paper and the hard work of Dan Kaminsky, most vulnerability scanning tools (including Nmap) should now have a plugin or signatures that allow you to remotely detect infected Conficker systems on your networks. Finally, we would like to recognize and thank the tremendous help and input of the Conficker Working Group.

Como sabrán en menos de 48 hs se activará una nueva variante del Conficker. Recién salido del horno, Tillman y Felix del Giraffe Honeynet Chapter publican una herramienta para detectar hosts infectados con el Conficker [1], cabe señalar que este scanner sera integrado en varios scanner famosos como el nmap ó Nessus. También nos envian firmas para el Snort basadas en el shellcode del virus.

y

Mas información en:

https://www.honeynet.org/node/388
https://www.honeynet.org/node/389
http://www.doxpara.com/?p=1285
http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Chapter XVIII: Introduction, Classification and Implementation of Honeypots

This chapter discusses the basic aspects of Honeypots, how they are implemented in modern computer networks, as well as their practical uses and implementation in educational environments. This chapter covers the most important points regarding the characteristics of Honeypots and Honeynets. The implementation of Honeypots provides an answer to a common question posted by the field of information security and forensics: How to dissect the elements that make up an attack against a computer system. The chapter summarizes the different features and capabilities of Honeypots once they are set up in a production environment.

Pueden hacer el pedido directamente en IGI-Global con un descuento de Pre-Publicación o directamente en Amazon sin descuento

Oops, ya tenia un poco olvidado mi blog mucho trabajo e infinidad de cosas por hacer me quemaban el chip y no le daba bola al blog... pero de nuevo acá estoy.

Estuve 3 semanas en México pasando las fiestas con mi familia y amigos, ya me hacian falta unas vacaciones... las disfrute muchisimo, aunque creo que me faltaron mas días; en esas 3 semanas no pude recuperar los meses que estuve viviendo fuera de mi ciudad. Ya acercandose la hora de regresar empece la busqueda de vuelos, con la idea presente en que no lo encontraria a menos de $1,000 usd por la temporada y por los costos que en los últimos meses hemos visto todos... por suerte encontre un vuelo en aprox $600 usd (un solo viaje), el único detalle es que la conexión del vuelo sería en Nueva York... no me importo y lo compre, fué lo mas barato que encontre. Y bueno.. fueran muchas horas de viaje hasta Buenos Aires pero llegue! (gracias a la Tía Meche por su hospitalidad en la Gran Manzana)

De regreso al laburo, chequeando pendientes... cambiandome de apartamento, en fin... los últimos dias han estado un poquitín pesado, pero ahi la llevo... ya se va poniendo todo a la normalidad.

Ayer me avisaron que mi artículo para un libro sponsoreado por la Academia de la Fuerza Aerea de USA será publicado en Abril 2009, ahora esta en la fase de pre-prensa. Esto me pone muy feliz ya que será mi primera publicaciñon formal que tengo. El libro se llamará "Cyber Security and Global Information Assurance: Threat Analysis and Response Solutions", el brochure pueden verlo ACÁ y el sitio del libro http://tinyurl.com/baemfs. Mi capítulo hablo sobre Honeypots y Honeynets.

El Proyecto Honeynet se complace en anunciar que esta disponible para su descarga la version beta 1.3 de Honeywall, el mensaje a continuacion...

---

The Honeywall CDROM is a bootable CD that installs onto a hard drive and comes with all the tools and functionality for you to implement data capture, control, and analysis.

For more information, see: https://projects.honeynet.org/honeywall/ wiki or contact honeywall@public.honeynet.org

Tengo varias dias en Costa Rica y los chicos del Honeynet Costa Rica me dieron un trip al Volcan Irazú cerca de San Jose (Muchas gracias!). Los paisajes aca son bellisimos, todo verdee, el clima esta excelenteeeee!! El volcan Irazu esta enormee, me dijeron que la ultima actividad fue en los años 60 en donde nadie esperaba hace estuviera activo. Hasta la fecha ya no ha tenido actividad, y es uno de los lugares turisticos en donde sin duda alguna se tiene que visitar aca en CR.

A solo unos dias de que empiece el Workshop Anual del Proyecto Honeynet, ya nos encontramos en Costa Rica algunos miembros de Honeynet Proyect. Entre ellos estamos Einar Oftedal y Tor Inge Skaar de Norwegian Honeynet Project, Andre Gregio de Brazilian Honeynet Project Chapter, Jose Bogarin y Alonso Bogarin de Costa Rica Honeynet Project, Lance Spitzner que es el fundador del Proyecto Honeynet, y un servidor de Mexican Honeynet Project Chapter. Mañana martes y miercoles llegaran los demas 25 miembros de los demas Chapters, desafortunadamente 2 miembros cancelaron por cuestiones de trabajo. Será interesante estar 32 geeks de todo el mundo reunidosss