Escenario
Este desafío lo lleva al mundo de las comunicaciones de voz en Internet.
VoIP se está convirtiendo en el estándar de facto para la comunicación de
voz. A medida que esta tecnología se vuelve más común, las partes
malintencionadas tienen más oportunidades y motivos más sólidos para
controlar estos sistemas y realizar actividades nefastas. Este desafío fue
diseñado para examinar y explorar algunos de los atributos de los protocolos
SIP y RTP.
Archivos del desafío
"log.txt" se generó a partir de un señuelo pasivo no anunciado ubicado en
Internet, de modo que cualquier tráfico destinado a él debe ser nefasto.
Partes desconocidas escanearon el señuelo con una variedad de herramientas,
y esta actividad se representa en el archivo de registro.
- La dirección IP del honeypot se cambió a "honey.pot.IP.removed". En términos de geolocalización, elige tu ciudad favorita.
- El hash MD5 en el resumen de autorización se reemplaza con "MD5_hash_removedXXXXXXXXXXXXXXXX"
- Algunos octetos de direcciones IP externas se han reemplazado con una "X"
- Se han reemplazado varios dígitos finales de números de teléfono con una "X"
- Suponga que las marcas de tiempo en los archivos de registro son UTC.
"Voip-trace.pcap" fue creado por miembros de la red trampa para este
desafío forense para permitir a los participantes emplear habilidades de
análisis de red en el contexto de VOIP.
Preguntas
¿Cuál es el protocolo de transporte que se está utilizando?
El protocolo utilizado es: UDP. La información se obtuvo desde el archivo log.txt.
El atacante usó un montón de herramientas de escaneo que pertenecen a la misma suite. Proporcione el nombre de la suite.
El nombre de la suit es: SIPVicious. La información se obtuvo analizando el archivo Voip-trace.pcap y utilizando el filtro sip y ordenando la columna time de forma ascendente en Wireshark.
¿Cuál es el User-Agent del sistema víctima?
El user-agent del sistema víctima es: Asterisk PBX 1.6.0.10-FONCORE-r40. La información se obtuvo a partir de la respuesta anterior. Con la herramienta Wireshark se seleccionó el frame número 1 y se aplicó la función Follow->UDP Stream.
¿Qué herramienta solo se utilizó con las siguientes extensiones: 100,101,102,103 y 111?
La herramienta utilizada en las extensiones mencionada anteriormente fue svcrack.py. Para obtener esta respuesta se tuvo que analizar la herramienta SIPVicious OSS. SIPVicious OSS es un conjunto de herramientas de seguridad que se utiliza para auditar sistemas de VOIP basadas en el protocolo SIP. La herramienta permite encontrar servidores SIP, enumerar extensiones SIP, descifrar su contraseña.
La herramienta SIPVicious OSS tiene el siguiente conjunto de herramientas:
- svmap: este es un escáner sip. Cuando se lanza contra rangos de espacio de direcciones IP, identificará cualquier servidor SIP que encuentre en el camino. También tiene la opción de escanear hosts en rangos de puertos.
- svwar: identifica las líneas de extensión en funcionamiento en un PBX. Una extensión de trabajo es aquella que se puede registrar. También le dice si la línea de extensión requiere autenticación o no.
- svcrack: un descifrador de contraseñas que utiliza autenticación implícita. Es capaz de descifrar contraseñas tanto en servidores de registro como en servidores proxy. Los modos de craqueo actuales son rangos numéricos o palabras de archivos de diccionario.
- svreport: capaz de gestionar sesiones creadas por el resto de herramientas y exportar a pdf, xml, csv y texto plano.
- svcrash: responde a los mensajes SIP de svwar y svcrack con un mensaje que hace que las versiones anteriores se bloqueen.
Como se muestra en la imagen los anexos 101,102,103,111 necesitan Autorización, por lo tanto, la herramienta SIPVicious OSS, ejecutara la herramienta svcrack.py para descifrar las contraseñas de aquellos anexos. El anexo número 100 nos muestra el parámetro Autenticación, lo que significa que ese anexo no requiere de autenticación.
¿Qué extensión en el honeypot NO requiere autenticación?
El anexo que no requiere autenticación es el anexo 100. Ver pregunta anterior.
¿Cuántas extensiones se escanearon en total?
El número de extensiones que se escanearon en total: 2652. La información se obtuvo del archivo log.txt.
Hay una traza para un cliente SIP real. ¿Cuál es el agente de usuario correspondiente? (dos palabras, un espacio entre ellas)
El agente de usuario es: Zoiper rev.6751. La información se obtuvo desde el archivo log.txt.
Se marcaron varios números de teléfono del mundo real. ¿Proporciona los primeros 11 dígitos del número marcado desde la extensión 101?
Los primeros 11 dígitos del número marcado desde la extensión 101 es: 00112524021. La información se extrajo del archivo log.txt.
¿Cuáles son las credenciales predeterminadas utilizadas en el intento de autenticación básica? (el formato es nombre de usuario:contraseña)
La credenciales predeterminadas utilizadas en el intento de autenticación básica son: maint:password. La información se obtuvo del archivo Voip-trace.pcap y con la herramienta Wireshark y el filtro http contains"Authorization: Basic".
Como se puede observar en la imagen está presente la cabecera Authorization: Basic bWFpbnQ6cGFzc3dvcmQ=.
Cabecera Authorization
La cabecera de petición Authorization contiene las credenciales para autenticar a un usuario en un servidor. Su sintaxis tiene el siguiente formato authorization <tipo><credenciales>. Donde, si se utiliza el esquema de autenticación básica "Basic" las credenciales son construidas de esta forma:
- El usuario y contraseña se combinan con dos puntos (username:password).
- La cadena (string) resultante se codifica en base64 (dXNlcm5hbWU6cGFzc3dvcmQK)
- Por último, cabecera quedaría de la siguiente forma: Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQK
¿Qué codec usa la transmisión RTP? (3 palabras, 2 espacios en medio)
El codec utilizado en la transmisión RTP es: ITU-T G.711 PCMU. La información se obtuvo analizando el archivo Voip-trace.pcap y la herramienta Wireshark y el filtro rtp.
Como se observa en la imagen la cabecera que proporciona la información es Payload type: ITU-T G.711 PCMU.
Codec
Un codec es un software o dispositivo de hardware capaz de codifica o decodificar un flujo de señales digitales. Codec es un acrónimo de codificador/decodificador y su uso está muy extendido para la codificación de señales de audio y video.
¿Cuánto dura el tiempo de muestreo (en milisegundos)?
El tiempo de muestre en milisegundos es de: 0,125. La información se obtuvo con la herramienta Wireshark y la función Telephony->RTP->RTP Stream Analysis.
Luego, hacemos clic en el botón Play Stream y se mostrara la siguiente ventana.
En las columnas SR(Hz) y PR(Hz) se muestra la tasa de muestreo en Hz. Por lo tanto, toca realizar un cálculo de conversión de Hz a milisegundo.
1Hz. representa un ciclo por cada segundo, entendiendo por ciclo la repetición de un suceso.
1Hz = 1 segundo, y 1 segundo tiene 1.000 milisegundos.
Por lo tanto, la conversión quedaría de la siguiente manera (1/8000) * 1000 = 0,125.
¿Cuál era la contraseña de la cuenta con el nombre de usuario 555?
La contraseña de la cuenta con el nombre de usuario 555 es: 1234.
Para obtener la contraseña se utilizó la herramienta sipdump y sipcrack y la técnica de fuerza bruta por diccionario.
Primero, con la herramienta sipdump se hizo el volcado de las conexiones sip del archivo Voip-trace.pcap.
Segundo, con la herramienta sipcrack intentaremos de obtener la contraseña del usuario 555.
Como se muestra en la imagen la contraseña del usuario es 555.
¿Qué campo de encabezado de paquete RTP se puede usar para reordenar paquetes RTP fuera de sincronización en la secuencia correcta?
El campo de encabezado de paquetes RTP que se utiliza para sincronización es el encabezado timestamp.
Según la RFC 3550 el encabezado timestamp "...El instante de muestreo DEBE derivarse de un reloj que se incremente monótona y linealmente en el tiempo para permitir la sincronización y los cálculos de fluctuación de fase (consulte la Sección 6.4.1)..."
El rastro incluye un mensaje oculto secreto. ¿Puedes oirlo?
El mensaje oculto es Mexico. La información se obtuvo con la herramienta Wireshark y la opción Telephony ->RTP->RTP Stream
Seleccionamos el primer paquete y presionamos el botón Play Streams. Se nos mostrará la siguiente ventana.
Aquí damos en el botón play y escuchamos la captura de paquetes RTP.
Después de escuchar varias, varias, varias veces la parte del audio marcado en la imagen logre escuchar la palabra Mexico.
Happy Hack!!!
Comentarios
Publicar un comentario