SANSからの練習問題を試すネットワーク接続の確認 (1)

RedLineではオープン中ポートの確認は Ports から表示する事ができますので、APT.IMG の解析結果を確認してみます。

f:id:hideakii:20140313202502p:plain

結果を確認してみると、リモートIPについては特に情報がなく、一見すると外部との接続は無いように見受けられます。

しかし、Volatility で確認してみると結果が異なってきます。

まずは connectionsを使ってみます。メモリイメージ取得時にアクティブであったセッションを表示するというプラグインですね。*1

Offset(V) Local Address Remote Address Pid

---------- ------------------------- ------------------------- ---

0x81e611f8 192.168.157.10:1053 218.85.133.23:89 796

次に、スキャンベースのconnscanを使います。誤検出も出ると記載がありますが、アクティブでないものも表示でき使い勝手はよさそうです。対象OSはconnectionsと同じ。

Volatility Foundation Volatility Framework 2.3.1

Offset(P) Local Address Remote Address Pid

---------- ------------------------- ------------------------- ---

0x0205ece0 192.168.157.10:1050 222.128.1.2:443 1672

0x020611f8 192.168.157.10:1053 218.85.133.23:89 796

0x032c01f8 192.168.157.10:1053 218.85.133.23:89 796

0x0337dce0 192.168.157.10:1050 222.128.1.2:443 1672

0x08a4ace0 192.168.157.10:1050 222.128.1.2:443 1672

0x18200ce0 192.168.157.10:1050 222.128.1.2:443 1672

conectionsよりも多くの情報が得られましたが、新たに PID 1672 Explorer.EXE がセッションを張っていた事が確認できます。

SANS Blogの解説でも、connscan コマンドの実行結果が例示されています。

Windows XP のイメージついては、この他にリッスンしていたポートを確認するために使える sockets と sockscan コマンドが用意されています。

socketsの実行結果。

Offset(V) PID Port Proto Protocol Address Create Time

---------- -------- ------ ------ --------------- --------------- -----------

0x822ef510 796 1053 6 TCP 0.0.0.0 2009-05-05 19:29:06 UTC+0000

0x81fa9008 1212 1900 17 UDP 192.168.157.10 2009-04-16 16:10:20 UTC+0000

0x822d25b0 4 0 47 GRE 0.0.0.0 2009-05-05 19:28:35 UTC+0000

0x81e59748 716 500 17 UDP 0.0.0.0 2009-04-16 16:10:16 UTC+0000

0x822d7220 4 139 6 TCP 192.168.157.10 2009-04-16 16:10:00 UTC+0000

0x8206ce98 464 1032 6 TCP 127.0.0.1 2009-04-16 16:10:21 UTC+0000

0x82305008 4 445 6 TCP 0.0.0.0 2009-04-16 16:10:00 UTC+0000

0x81df5298 968 135 6 TCP 0.0.0.0 2009-04-16 16:10:07 UTC+0000

0x82305258 4 137 17 UDP 192.168.157.10 2009-04-16 16:10:00 UTC+0000

0x81d354c8 1088 123 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000

0x82165320 716 0 255 Reserved 0.0.0.0 2009-04-16 16:10:16 UTC+0000

0x82191138 4 138 17 UDP 192.168.157.10 2009-04-16 16:10:00 UTC+0000

0x81fa9658 1088 123 17 UDP 192.168.157.10 2009-04-16 16:10:20 UTC+0000

0x822f6618 4 1052 6 TCP 0.0.0.0 2009-05-05 19:28:35 UTC+0000

0x821514f8 1212 1900 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000

0x822dda88 716 4500 17 UDP 0.0.0.0 2009-04-16 16:10:16 UTC+0000

0x821554c8 1088 1028 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000

0x82305818 4 445 17 UDP 0.0.0.0 2009-04-16 16:10:00 UTC+0000

次にsockscanの実行結果。

Offset(P) PID Port Proto Protocol Address Create Time

---------- -------- ------ ------ --------------- --------------- -----------

0x01f354c8 1088 123 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000

0x01ff5298 968 135 6 TCP 0.0.0.0 2009-04-16 16:10:07 UTC+0000

0x02059748 716 500 17 UDP 0.0.0.0 2009-04-16 16:10:16 UTC+0000

0x021a9008 1212 1900 17 UDP 192.168.157.10 2009-04-16 16:10:20 UTC+0000

0x021a9658 1088 123 17 UDP 192.168.157.10 2009-04-16 16:10:20 UTC+0000

0x0226ce98 464 1032 6 TCP 127.0.0.1 2009-04-16 16:10:21 UTC+0000

0x023514f8 1212 1900 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000

0x023554c8 1088 1028 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000

0x02365320 716 0 255 Reserved 0.0.0.0 2009-04-16 16:10:16 UTC+0000

0x02391138 4 138 17 UDP 192.168.157.10 2009-04-16 16:10:00 UTC+0000

0x024d25b0 4 0 47 GRE 0.0.0.0 2009-05-05 19:28:35 UTC+0000

0x024d7220 4 139 6 TCP 192.168.157.10 2009-04-16 16:10:00 UTC+0000

0x024dda88 716 4500 17 UDP 0.0.0.0 2009-04-16 16:10:16 UTC+0000

0x024ef510 796 1053 6 TCP 0.0.0.0 2009-05-05 19:29:06 UTC+0000

0x024f6618 4 1052 6 TCP 0.0.0.0 2009-05-05 19:28:35 UTC+0000

0x02505008 4 445 6 TCP 0.0.0.0 2009-04-16 16:10:00 UTC+0000

0x02505258 4 137 17 UDP 192.168.157.10 2009-04-16 16:10:00 UTC+0000

0x02505818 4 445 17 UDP 0.0.0.0 2009-04-16 16:10:00 UTC+0000

0x03060618 4 1052 6 TCP 0.0.0.0 2009-05-05 19:28:35 UTC+0000

0x07a99510 796 1053 6 TCP 0.0.0.0 2009-05-05 19:29:06 UTC+0000

0x07b924c8 1088 123 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000

0x089a5618 4 1052 6 TCP 0.0.0.0 2009-05-05 19:28:35 UTC+0000

0x0af26510 796 1053 6 TCP 0.0.0.0 2009-05-05 19:29:06 UTC+0000

0x0e4624c8 1088 123 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000

0x15930008 4 445 6 TCP 0.0.0.0 2009-04-16 16:10:00 UTC+0000

0x15930258 4 137 17 UDP 192.168.157.10 2009-04-16 16:10:00 UTC+0000

0x15930818 4 445 17 UDP 0.0.0.0 2009-04-16 16:10:00 UTC+0000

0x159c1220 4 139 6 TCP 192.168.157.10 2009-04-16 16:10:00 UTC+0000

0x16b5a618 4 1052 6 TCP 0.0.0.0 2009-05-05 19:28:35 UTC+0000

0x1c3de618 4 1052 6 TCP 0.0.0.0 2009-05-05 19:28:35 UTC+0000

さて、RedLine の Ports では確認できませんでしたが、Volatility を使って確認したところでは、iexplore.exe と Explorer.EXE が外部とセッションを持っているまたは持っていた事が確認できました。

Explorer.exe が Internet 上のホストに対して 443/tcp で接続するというのは興味深い結果ではないでしょうか？それとも普通なんですかね？

*1:ただし、このコマンドには注意点であり、Wikiには This command is for x86 and x64 Windows XP and Windows 2003 Server only. と記載がありますので、Win 7 のメモリイメージなどでは使えないコマンドです。

@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANSからの練習問題を試すネットワーク接続の確認 (1)