Email Forensics: Metaspike CTF

Email Forensics: Metaspike CTF

วันนี้มาแนะนำการแข่งขัน Email Forensics CTF ซึ่งจัดโดยกลุ่ม Metaspike Community! กลุ่มเปิดให้ทุกคนพูดคุยเกี่ยวกับ digital forensics เข้าร่วมการสนทนาเพื่อแบ่งปันประสบการณ์คำแนะนำและเคล็ดลับและเรียนรู้จากผู้อื่น และมีจัดกิจกรรม Capture The Flag (CTF)  โดยกิจกรรมจะเปิดและปิดเป็นช่วง Jan- Feb 2021

Tools recommendations for the CTF

Text Editor

I strongly recommend using a capable text editor. My favorite is UltraEdit. Other good options are Sublime Text or Atom, possibly with some MIME syntax highlighters.

Conversions

I recommend using CyberChef for date and format conversions.

MAPI

When working with MSGs and PSTs, you can use MFCMAPI or OutlookSpy with Outlook.

General Metadata Extraction

You will likely need a general-purpose tool that can extract embedded files, file metadata, etc. Good candidates are X-Ways, Autopsy, or perhaps ExifTool or MetaDiver when you don’t feel like pulling out the big guns.

PDF Deep Dive

When you encounter PDFs, you will likely need a deep dive tool to look into them in detail. You can use PDF CanOpener (with Acrobat), PDF Stream Dumper, pdf-parser.py, etc.

ลองทำโจทย์ข้อ 1 Draft_Agreement.eml

(SHA-256: 42B6FD78DAF38C03E1A744ECA1A0CB44F6859AB892E0F32B01763EFD835B5648)

เป็นอีเมลปกติ ลงวันที่ 7 มีนาคม 2016 มีการสื่อสารระหว่าง Yahoo และ Gmail พร้อมไฟล์แนบ PDF

 ใช้ https://mxtoolbox.com ดู EML มีสองวิธีในการดูส่วนหัวของอีเมล  ทั้งในรูปแบบข้อความภายใต้“ ส่วนหัวของข้อความ” หรือแยกวิเคราะห์เป็นช่องภายใต้“ คุณสมบัติ” แต่เนื่องจากอีเมลอยู่ในรูปแบบ EML เราจึงสามารถดูได้ตามรูปที่แสดงผลลัพธ์ดังนี้

พบว่าในส่วนลายเซ็น DKIM   ซึ่งอาจจะไม่ถูกต้องก็ได้และ ใช้ในการตอบ 

ตอบ: F for Fack เป็นไปได้ว่าเป็นอีเมลที่ถูกปลอมขึ้น 

โจทย์ข้อที่ 2  ใช้ไฟล์จากโจทย์ข้อ 1  You will be examining the same email as in Part 1.

เราคิดอยู่แล้วว่าอีเมลนั้นหลอกลวง และเราทราบดีว่าเนื่องจากไฟล์นั้นเป็นไฟล์ EML จึงสามารถแก้ไขทุกอย่างที่อยู่ภายในอีเมลได้ โดยเฉพาะอย่างยิ่งการประทับเวลาที่ระบุได้ง่าย

หากเราดูการประทับเวลาทุกครั้ง เราจะเห็นวันที่มาตรฐานที่หลากหลาย รวมถึงการประทับเวลาแบบยูนิกซ์ การถอดรหัสทั้งหมดนั้นค่อนข้างเป็นการประทับเวลาเดียวกันและก็ผิดด้วย  

Mon, 7 Mar 2016 14:38:34 -0800 (PST)

Mon, 07 Mar 2016 14:38:34 -0800 (PST)

Mon, 07 Mar 2016 14:38:34 -0800 (PST)

Mon, 7 Mar 2016 22:38:33 +0000

Mon, 7 Mar 2016 22:38:31 +0000 (UTC)

Mon, 7 Mar 2016 22:38 Incorrect 

Email Forensics Workshop

 where we solved the first five challenges in Metaspike's Email Forensics Capture The Flag (CTF) competition. We covered topics such as:

• Examining emails in MIME format

• Message headers

• Leveraging DKIM and ARC

• Working with MAPI

• Investigating IMAP servers

• Server metadata

• Q&A

Creadit:

ctf.metaspike

community.metaspike

metaspike-ctf-week-1-its-legit-honest

Metaspike CTF – Week 2 – “As per my previous email

archived-challenges-2020

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud