Легенда по дополнительному этапу конкурса «Виртуальный редут» от компании «Цифровое оружие и защита» Вы расследуете серию инцидентов информационной безопасности, произошедших в вашей компании. В качестве исходных данных вам доступно всего несколько файлов. Необходимо найти свидетельства, которые помогут определить злоумышленника и выявить все значимые обстоятельства каждогоинцидента. Задания: 1. Известно, что в результате взлома одного из компьютеров злоумышленники использовали программу, передающую данные из вашей сети по одному из стандартных протоколов прикладного уровня. Вам удалось получить дамп сетевого трафика dump.pcap. Определите, какой протокол и какие логин/пароль использовали злоумышленники. 2. Вы получили доступ к веб-серверу, который был предположительно взломан. Определите, какой вредоносный функционал был добавлен злоумышленниками в скрипт search.php, найденный в каталоге веб-сервера. 3. Вам передали на исследование файл pc.arn, полученный (как?) с компьютера одного из руководителей вашей компании. Известно, что у руководителя были украдены логин/пароль к корпоративной электронной почте. Опишите, как это произошло (по имеющимся исходным данным) 4. Известно, что один из компьютеров ваших бухгалтеров был атакован, после чего с него было произведено несколько мошеннических транзакций в системе интернет-банкинга. Вам передали полученный из КЭШа прокси-сервера файл Pol.jar, а также дамп сетевого трафика с указанного компьютера - Pol.pcap. По имеющимся данным, опишите тип атаки, уязвимое программное обеспечение, использованную уязвимость, доменное имя управляющего сервера. Дополнительные задания: 5. Задание task_click - сделать так, чтобы при двойном клике на картинку открывался блокнот (внутри архива). 6. Задание task_js - расшифровать скрипт и сделать его рабочим Бонусные задания в режиме CTF (нестандартные задания, выполненные в стиле классических заданий Capture The Flag). Успех и даже какой-либо прогресс в решении этих заданий особо приветствуются. 1. Найди меня. Цель: получить кодовую строку; 2. Numbers. Цель: Получить число; 3. Outputer. Цель: Получить кодовую строку; 4. Numbers2. Цель: Получить кодовую строку; подсказка: аналогично 3. 5. Кто это? contest@esagelab.ru Примечание: часть исходных файлов могут быть определены антивирусом как вредоносные, поэтому все действия по расследованию инцидентов рекомендуется проводить в изолированной программной среде (отдельной виртуальной машине) с максимальной осторожностью. Исходные файлы для выполнения заданий 1-4 находятся в архиве по ссылке http://tzor.ru/contest/forensic.rar Исходные файлы для выполнения заданий 5 и 6 находятся в архиве по ссылке http://tzor.ru/contest/forensic_5_6.rar Исходные файлы для выполнения бонусных заданий 1-5 находятся в архиве по ссылке http://tzor.ru/contest/forensic_ctf.rar В связи со спецификой заданий, архивы защищены паролем. Пароль можно получить, отправив запрос на адрес электронной почты contest@esagelab.ru contest@esagelab.ru