Forensicist

Competition - Computer Forensic Investigation
http://www.shortinfosec.net/2008/07/competition-computer-forensic.html

Bozidar Spirovski氏のshortinfosecというサイトでディスク調査を対象としたコンテストが開催されています。

[概要]
--------
調査員は従業員が以下の違法行為をしているとの疑いをもっている。
1. IPネットワークトラフィックのスニッフィング
2. バックドアの設置
3. 機密情報入りCD-ROMの盗難と複製
4. 著作権保護された音楽ファイルのダウンロード
5. ペネトレーションチュートリアルのドキュメントの使用形跡
ターゲットPCの電源はオフであったため、調査員はddでコピーした。
ゴールは各容疑に合致する証拠を見つけ出すことである。
--------

ddイメージは100M弱でファイルシステムはNTFSです。締め切りは2008/08/20となっており当初は挑戦する予定でしたが、あまり時間をかけられなかったため提出は見送りました。締め切りも過ぎたため途中まで調べた結果を書いてみます。

[解析結果]
--------
Autopsyを使いタイムライン、ファイルタイプソート、削除済ファイルの列挙等を実行。また、ターゲット内にmoodleというパッケージが入っていてソースファイルが多数あったため、同じバージョン(1.9)を公式サイトから入手してハッシュデータベースを作成し、問題のないファイルは除外。

ぱっと見た感じで1.-5.に相当するファイルを発見。

1. /moodle/enrol/paypal/db/tshark.exe
ファイル名からするとWireshark。中身は調べていない。

2. /moodle/auth/ldap/MyTool.exe
Virustotalでスキャンするとnetcatと判定。

3. /moodle/lib/geoip/Documents/Myfile.doc
ISO 9660 CD-ROM filesystem data 'TrueCrypt Rescue Disk ' (bootable)と判定したファイル。中身は調べていない。

4. /moodle/auth/imap/YouTube - Sergio Mendes & Brasil 66 - Mas Que Nada.html
MP3 file with ID3 version 2.4.0 tagと判定したファイル。中身は調べていない。

5. /moodle/lib/geoip/Documents/developers_guide.pdf
MetasploitのDeveloper用ドキュメント

その他、Metasploitのrubyファイルやユーザガイド、Open-Source Security Testing Methodology ManualというPDFファイルが見つかる。
--------

ここまでの調査で2時間程度費やしました。ファイルは圧縮や偽装されている可能性もあるという注意書きがあるので、さらに深く調べる必要があるのかもしれません。

回答が公表された後に見直す予定です。

(2008/09/07追記)
回答が公表されました。

Competition Results - Computer Forensic Investigation
http://www.shortinfosec.net/2008/08/competition-results-computer-forensi...

正解は解析結果とほぼ同じでした。5番はOpen-Source Security Testing Methodology Manual(OSSTMM)
で、metasploitはどうもダミーだったようです。