アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANSからの練習問題を試す ネットワーク接続の確認 (1)

RedLineではオープン中ポートの確認は Ports から表示する事ができますので、APT.IMG の解析結果を確認してみます。

f:id:hideakii:20140313202502p:plain

結果を確認してみると、リモートIPについては特に情報がなく、一見すると外部との接続は無いように見受けられます。

しかし、Volatility で確認してみると結果が異なってきます。

まずは connectionsを使ってみます。メモリイメージ取得時にアクティブであったセッションを表示するというプラグインですね。*1

Offset(V)  Local Address             Remote Address            Pid

---------- ------------------------- ------------------------- ---

0x81e611f8 192.168.157.10:1053       218.85.133.23:89          796

次に、 スキャンベースのconnscanを使います。誤検出も出ると記載がありますが、アクティブでないものも表示でき使い勝手はよさそうです。対象OSはconnectionsと同じ。

Volatility Foundation Volatility Framework 2.3.1

Offset(P)  Local Address             Remote Address            Pid

---------- ------------------------- ------------------------- ---

0x0205ece0 192.168.157.10:1050       222.128.1.2:443           1672

0x020611f8 192.168.157.10:1053       218.85.133.23:89          796

0x032c01f8 192.168.157.10:1053       218.85.133.23:89          796

0x0337dce0 192.168.157.10:1050       222.128.1.2:443           1672

0x08a4ace0 192.168.157.10:1050       222.128.1.2:443           1672

0x18200ce0 192.168.157.10:1050       222.128.1.2:443           1672

 conectionsよりも多くの情報が得られましたが、新たに PID 1672 Explorer.EXE がセッションを張っていた事が確認できます。

SANS Blogの解説でも、connscan コマンドの実行結果が例示されています。

Windows XP のイメージついては、この他にリッスンしていたポートを確認するために使える socketssockscan コマンドが用意されています。

socketsの実行結果。

Offset(V)       PID   Port  Proto Protocol        Address         Create Time

---------- -------- ------ ------ --------------- --------------- -----------

0x822ef510      796   1053      6 TCP             0.0.0.0         2009-05-05 19:29:06 UTC+0000

0x81fa9008     1212   1900     17 UDP             192.168.157.10  2009-04-16 16:10:20 UTC+0000

0x822d25b0        4      0     47 GRE             0.0.0.0         2009-05-05 19:28:35 UTC+0000

0x81e59748      716    500     17 UDP             0.0.0.0         2009-04-16 16:10:16 UTC+0000

0x822d7220        4    139      6 TCP             192.168.157.10  2009-04-16 16:10:00 UTC+0000

0x8206ce98      464   1032      6 TCP             127.0.0.1       2009-04-16 16:10:21 UTC+0000

0x82305008        4    445      6 TCP             0.0.0.0         2009-04-16 16:10:00 UTC+0000

0x81df5298      968    135      6 TCP             0.0.0.0         2009-04-16 16:10:07 UTC+0000

0x82305258        4    137     17 UDP             192.168.157.10  2009-04-16 16:10:00 UTC+0000

0x81d354c8     1088    123     17 UDP             127.0.0.1       2009-04-16 16:10:20 UTC+0000

0x82165320      716      0    255 Reserved        0.0.0.0         2009-04-16 16:10:16 UTC+0000

0x82191138        4    138     17 UDP             192.168.157.10  2009-04-16 16:10:00 UTC+0000

0x81fa9658     1088    123     17 UDP             192.168.157.10  2009-04-16 16:10:20 UTC+0000

0x822f6618        4   1052      6 TCP             0.0.0.0         2009-05-05 19:28:35 UTC+0000

0x821514f8     1212   1900     17 UDP             127.0.0.1       2009-04-16 16:10:20 UTC+0000

0x822dda88      716   4500     17 UDP             0.0.0.0         2009-04-16 16:10:16 UTC+0000

0x821554c8     1088   1028     17 UDP             127.0.0.1       2009-04-16 16:10:20 UTC+0000

0x82305818        4    445     17 UDP             0.0.0.0         2009-04-16 16:10:00 UTC+0000

 次にsockscanの実行結果。

Offset(P)       PID   Port  Proto Protocol        Address         Create Time

---------- -------- ------ ------ --------------- --------------- -----------

0x01f354c8     1088    123     17 UDP             127.0.0.1       2009-04-16 16:10:20 UTC+0000

0x01ff5298      968    135      6 TCP             0.0.0.0         2009-04-16 16:10:07 UTC+0000

0x02059748      716    500     17 UDP             0.0.0.0         2009-04-16 16:10:16 UTC+0000

0x021a9008     1212   1900     17 UDP             192.168.157.10  2009-04-16 16:10:20 UTC+0000

0x021a9658     1088    123     17 UDP             192.168.157.10  2009-04-16 16:10:20 UTC+0000

0x0226ce98      464   1032      6 TCP             127.0.0.1       2009-04-16 16:10:21 UTC+0000

0x023514f8     1212   1900     17 UDP             127.0.0.1       2009-04-16 16:10:20 UTC+0000

0x023554c8     1088   1028     17 UDP             127.0.0.1       2009-04-16 16:10:20 UTC+0000

0x02365320      716      0    255 Reserved        0.0.0.0         2009-04-16 16:10:16 UTC+0000

0x02391138        4    138     17 UDP             192.168.157.10  2009-04-16 16:10:00 UTC+0000

0x024d25b0        4      0     47 GRE             0.0.0.0         2009-05-05 19:28:35 UTC+0000

0x024d7220        4    139      6 TCP             192.168.157.10  2009-04-16 16:10:00 UTC+0000

0x024dda88      716   4500     17 UDP             0.0.0.0         2009-04-16 16:10:16 UTC+0000

0x024ef510      796   1053      6 TCP             0.0.0.0         2009-05-05 19:29:06 UTC+0000

0x024f6618        4   1052      6 TCP             0.0.0.0         2009-05-05 19:28:35 UTC+0000

0x02505008        4    445      6 TCP             0.0.0.0         2009-04-16 16:10:00 UTC+0000

0x02505258        4    137     17 UDP             192.168.157.10  2009-04-16 16:10:00 UTC+0000

0x02505818        4    445     17 UDP             0.0.0.0         2009-04-16 16:10:00 UTC+0000

0x03060618        4   1052      6 TCP             0.0.0.0         2009-05-05 19:28:35 UTC+0000

0x07a99510      796   1053      6 TCP             0.0.0.0         2009-05-05 19:29:06 UTC+0000

0x07b924c8     1088    123     17 UDP             127.0.0.1       2009-04-16 16:10:20 UTC+0000

0x089a5618        4   1052      6 TCP             0.0.0.0         2009-05-05 19:28:35 UTC+0000

0x0af26510      796   1053      6 TCP             0.0.0.0         2009-05-05 19:29:06 UTC+0000

0x0e4624c8     1088    123     17 UDP             127.0.0.1       2009-04-16 16:10:20 UTC+0000

0x15930008        4    445      6 TCP             0.0.0.0         2009-04-16 16:10:00 UTC+0000

0x15930258        4    137     17 UDP             192.168.157.10  2009-04-16 16:10:00 UTC+0000

0x15930818        4    445     17 UDP             0.0.0.0         2009-04-16 16:10:00 UTC+0000

0x159c1220        4    139      6 TCP             192.168.157.10  2009-04-16 16:10:00 UTC+0000

0x16b5a618        4   1052      6 TCP             0.0.0.0         2009-05-05 19:28:35 UTC+0000

0x1c3de618        4   1052      6 TCP             0.0.0.0         2009-05-05 19:28:35 UTC+0000

 さて、RedLine の Ports では確認できませんでしたが、Volatility を使って確認したところでは、iexplore.exe と Explorer.EXE が外部とセッションを持っているまたは持っていた事が確認できました。

Explorer.exe が Internet 上のホストに対して 443/tcp で接続するというのは興味深い結果ではないでしょうか?それとも普通なんですかね?

 

*1:ただし、このコマンドには注意点であり、Wikiには This command is for x86 and x64 Windows XP and Windows 2003 Server only. と記載がありますので、Win 7 のメモリイメージなどでは使えないコマンドです。