Wiązka. Malware (0-13) Malware Domain List to niekomercyjny
Transkrypt
Wiązka. Malware (0-13) Malware Domain List to niekomercyjny
Wiązka. Malware (0-13) Malware Domain List to niekomercyjny projekt społecznościowy, w którym tworzona jest lista adresów stron internetowych i dokumentów stwarzających zagrożenie: trojanów, exploitów itp. Listę na bieżąco uzupełniają profesjonalni entuzjaści bezpieczeństwa w sieci. W pliku malware.txt znajdują się pozycje z tej listy, wybrane z okresu od stycznia 2014 do stycznia 2015 roku włącznie. Podano datę umieszczenia wpisu, opis zagrożenia, adres szkodliwej strony lub dokumentu, numer IP komputera udostępniającego tę stronę oraz numer ASN sieci, do której ten komputer należy. Przykład: data 2014-12-17 2014-12-04 2014-11-25 IP 62.76.74.228 31.41.218.232 89.218.31.11 opis Trojan.Downloader CryptoLocker Script.exploit ASN 51408 42655 9198 adres my-screenshot.net mysda24.com/f/pacchetto_38.zip zakonodatelstvo.kz/russ.html W pliku asn.txt znajduje się informacja o sieciach komputerowych. ASN (Autonomic System Number) jest identyfikatorem sieci, nadawanym przez światowe organy zarządzające zasobami internetowymi i wykorzystywanym w konfiguracji routerów. W pliku podano: numer ASN, nazwę firmy zarządzającej siecią (siec), internetowy identyfikator kraju (ID_kraju) oraz nazwę regionu, któremu sieć podlega. Przykład: asn ID_kraju 1267 it 2514 jp 2914 us region ripencc apnic arin siec ASN-INFOSTRADA WIND Telecomunicazioni S.p.A. INFOSPHERE NTT PC Communications, Inc NTT-COMMUNICATIONS-2914 - NTT America, Inc Regionalne organizacje przydzielające adresy ASN obejmują: apnic (Asia Pacific Network Information Centre) – rejon Azji i Pacyfiku, arin (American Registry for Internet Numbers) – rejon Ameryki Północnej, lacnic (Latin-American and Caribbean) – rejon Ameryki Łacińskiej i wysp Karaibskich, ripencc (Réseaux IP Européens) –rejon Europy, Bliskiego Wschodu i centralnej Azji, afrinic –rejon Afryki. W pliku kraje.txt podano nazwy krajów oraz ich 2-literowe identyfikatory internetowe, np.: kraj Australia France Hungary ID_kraju au fr hu Wszystkie dane w wierszach oddzielone są znakiem tabulacji. Rozwiąż poniższe zadania wykorzystując dostępne narzędzia informatyczne. Wyniki umieść w pliku tekstowym o nazwie ……………………. Do oceny oddaj plik tekstowy zawierający wyniki, oraz plik zawierający realizację komputerową rozwiązania. Zadanie 1 (0-1) Znajdź te pozycje złośliwego oprogramowania, których celem jest pishing, czyli wyłudzanie informacji od użytkownika (w polu: opis zawierają łańcuch znaków: phish lub Phish). Podaj pełną listę, uporządkowaną alfabetycznie według kraju, zawierającą dla każdej pozycji: nazwę kraju, z którego pochodzi komputer, opis zagrożenia (opis), pełną ścieżkę dostępu do szkodliwego pliku (adres) Zadanie 2 (0-3) Dla każdej z pięciu sieci, które udostępniły najwięcej pozycji złośliwego oprogramowania, podaj ich nazwę (siec), nazwę kraju, oraz liczbę udostępnionych pozycji oprogramowania i liczbę różnych adresów IP, z których to oprogramowanie udostępniono. Zadanie 3 (0-3) Dla każdego wpisu na listę malware wyznacz domenę, z której udostępniono szkodliwe oprogramowanie. Nazwa domeny zawiera kolejne znaki pola adres, od lewej strony, aż do znaku ”/”, bez tego znaku. Podaj liczbę różnych domen, z których pochodzi szkodliwe oprogramowanie. Serwer DNS można tak skonfigurować, aby odpowiadał kilkoma adresami IP dla jednej domeny. Wyszukaj wśród domen te pozycje, którym odpowiada więcej niż jeden numer IP. Podaj nazwy tych domen i odpowiadające im liczby różnych adresów IP. Zadanie 4 (0-3) Sporządź zestawienie w postaci tabeli, w której dla każdego miesiąca roku 2014 podasz liczbę zarejestrowanych pozycji złośliwego oprogramowania, w podziale na poszczególne regiony: apnic, arin, lacnic, ripencc, afrinic. W zestawieniu nie uwzględniaj danych ze stycznia 2015 r. Zadanie 5 (0-3) Złośliwe oprogramowanie może być ukryte w plikach graficznych i uaktywniać się podczas wyświetlania obrazu, wykorzystując luki w programach odtwarzających obraz. Wybierz wszystkie pozycje z listy malware.txt, informujące o złośliwym kodzie ukrytym w obrazach zapisanych w formatach: jpg i png (pole adres zawiera ”.jpg” lub ”.png”). Podaj z których krajów pochodzą komputery udostępniające te pliki. Sporządź zestawienie w postaci tabeli, w której dla każdego kraju udostępniającego złośliwy kod w plikach graficznych podasz liczby tych plików, z podziałem na format jpg i png. Model odpowiedzi do wiązki zadań Zadanie 1 Poprawna odpowiedź: Lp kraj opis 1 Russia redirects to AppleId phishing 2 Spain AppleId phishing 3 4 5 Luxem bourg Luxem bourg USA 6 7 adres andreyzakharov.com/wp-content/plugins/wp-nocategory-base/generic/ www.matecocinas.com/productos/mesas/mesabrenda/4rfv/ AusPost Phish, leads to austr-post.net/open/scripts.js trojan - js AusPost Phish, leads to austr-post.net/open/index.php trojan - php Destination of banking whitehorsetechnologies.net/images/clients/x/mail.php phishing Amazon phishing www.amazonsicherheitonline.com/ Amazon phishing cc8.joseppe.ru/de/amazon/amazon_check.php Russia Germa ny 8 France HTML.ScrRedir.Phish rec-danse.fr/tmp/photos6.php 9 France PHP.Phish rec-danse.fr/tmp/4640731669/ 10 France Phish Postbank rec-danse.fr/tmp/stat.php stat.php 11 France Phish Postbank rec-danse.fr/tmp/very.php very.php 12 France Phish Postbank - p.html rec-danse.fr/tmp/p.html 13 France JS.exploit, BoA phish gulsproductions.com/css/bank-of-america-credit-cardpayment-mailing-address 14 France Google phish www.lajourneeducommercedeproximite.fr/jncp/images adw.html /documents/mouy/adw.html 15 France Google phish www.lajourneeducommercedeproximite.fr/jncp/images /documents/mouy/ 16 France Google phish tremplin84.fr/components/BIG/2013gdocs/ Zadanie 2 Poprawna odpowiedź: siec OVH OVH SAS AMAZON-02 - Amazon.com, Inc. AS-COLOCROSSING - ColoCrossing HWNG Eweka Internet Services B.V. INFOBOX-AS Infobox.ru Autonomous System kraj France USA USA Netherlands Russia liczbaIP 28 11 4 3 1 licznikPozycji 375 190 116 99 52 Zadanie 3 Poprawna odpowiedź: 687 różnych domen trzy domeny mają przypisane więcej niż jeden IP f.cl.ly 9 directxex.com 5 dl.downf468.com 3 Zadanie 4 Poprawna odpowiedź Miesiac afrinic 1 2 3 4 5 6 7 8 9 10 11 12 apnic 4 21 12 1 56 1 8 1 1 2 1 190 Zadanie 5 Poprawna odpowiedź: kraj France Germany Russia USA jpg 2 0 0 38 png 1 1 5 1 arin lacnic ripencc 20 118 81 2 202 52 3 110 31 3 27 53 4 128 3 68 119 6 117 1 5 12 4 51 8 7 14 128 7 1 24 Schemat punktowania do wiązki zadań Zadanie 1 (0-1) Za pełną poprawną listę 16 pozycji – 1 punkt Zadanie 2 (0-3) Za poprawne nazwy 5 sieci wraz z nazwami krajów – 1 punkt Za poprawne liczby pozycji oprogramowania w każdej sieci – 1 punkt Za poprawne liczby różnych adresów IP w każdej sieci – 1 punkt Zadanie 3 (0-3) Za poprawną liczbę różnych domen – 1 punkt Za poprawną listę 3 domen wraz z liczbą IP – 2 punkty (jeśli lista nie zawiera liczby adresów IP to 1 punkt) Zadanie 4 (0-3) Za poprawne zestawienie tabelaryczne – 3 punkty jeśli podano poprawne zestawienie liczby malware osobno dla każdego regionu, to 2 punkty, jeśli zestawienie obejmuje także styczeń 2015 roku, to odjąć 1 punkt. Zadanie 5 (0-3) Za poprawne zestawienie nazw 4 krajów – 1 punkt Za poprawne liczby plików .jpg dla każdego kraju w zestawieniu – 1 punkt Za poprawne liczby plików .png dla każdego kraju w zestawieniu – 1 punkt Metryczka zadania Etap edukacyjny Przedmiot Wymagania ogólne Wymagania szczegółowe Charakterystyka zadania IV informatyka III. Rozwiązywanie problemów i podejmowanie decyzji z zastosowaniem podejścia algorytmicznego. 2. Wyszukiwanie, gromadzenie, selekcjonowanie, przetwarzanie i wykorzystywanie informacji, współtworzenie zasobów w sieci, korzystanie z różnych źródeł i sposobów zdobywania informacji. 1) projektuje relacyjną bazę danych z zapewnieniem integralności danych; 2) stosuje metody wyszukiwania i przetwarzania informacji w relacyjnej bazie danych (język SQL); Materiał źródłowy malware.txt, asn.txt, kraje.txt Punktacja 13 punktów Rozwiązania zadań Zadania sprawdzają umiejętność sortowania i filtrowania danych, grupowania i zliczania, budowy pól obliczanych, przetwarzania łańcuchów znakowych. Zaimportuj dane z plików tekstowych do tabel. Jako pola kluczowe w tabelach wybierz: dla malware: utwórz dodatkowe pole Identyfikator, które będzie jednocześnie kolejnym numerem rekordu w tabeli dla asn: pole ASN dla krajów: pole ID_kraju Ustaw połączenia kluczy głównych i kluczy obcych w tabelach: pole ASN łączy tabele: Malware i Asn pole ID_kraju łaczy tabele: Asn i Kraje Zadanie 1 Kwerenda wybierająca niech zawiera pola: Kraje.kraj, Malware.opis i Malware.adres Dla pola opis ustaw kryterium: zawiera phish lub zawiera Phish. Uwaga: Microsoft Access domyślnie nie rozróżnia wielkości liter, wystarczy jeden warunek. Zadanie 2 Rozwiążmy problem przy użyciu dwóch prostych kwerend. Pierwsza niech wybierze pola Kraje.kraj, Asn.siec, Malware.IP i Malware.Identyfikator. Dodaj wiersz podsumowania. Grupuj pola: IP, kraj i siec, dla pola Identyfikator wybierz funkcję Policz. Druga kwerenda, utworzona na podstawie tej pierwszej, niech grupuje pola kraj i siec, do pola PoliczOfIdentyfikator zastosuje funkcję Suma, zaś do pola IP funkcję Policz. Posortuj rekordy malejąco względem sumy Identyfikatorów i wybierz pierwsze 5 rekordów. Zadanie 3 Aby wyłuskać nazwę domeny z adresu, umieść w kwerendzie dwa pola obliczeniowe, które będą odwoływać się do pola Malware.domain. Dodaj ko kwerendy także pole Malware.IP. Pierwsze pole obliczeniowe niech zwróci pozycję znaku ‘/’ w łańcuchu znaków pola adres. Znak ten występuje po nazwie domeny. Wykorzystaj w tym celu funkcję InStr() języka SQL: dlugosc: InStr(1;[Malware]![adres];"/") Drugie pole obliczane niech zwróci łańcuch znaków wycięty z lewej strony pola adres, o długości wyznaczonej powyżej (minus 1, aby nie zawierał znaku ‘/’). Wykorzystaj w tym celu funkcję Left() języka SQL: adres: Left([Malware]![adres];[dlugosc]-1) Utwórz drugą kwerendę na podstawie pierwszej, zgrupuj w niej pola domena oraz IP. Trzecia kwerenda, zbudowana na podstawie drugiej, niech grupuje domeny, zaś do pola IP zastosuj funkcję Policz. Posortuj rekordy malejąco względem liczników IP i ustaw kryterium dla liczników: >1. Zadanie 4 Pierwsza kwerenda niech wybiera rekordy z roku 2014. Powinna zawierajać pola: Malware.Identyfikator, Asn.region oraz pole obliczane Miesiąc: Month([Malware]![data]). Filtr na rok 2014 ustawimy tworząc pole obliczane Rok_2014: Year([Malware]![data]) i ustawiając dla niego kryterium: 2014. Druga kwerenda, krzyżowa, zbudowana na podstawie poprzedniej kwerendy, niech przyjmie w nagłówku wiersza miesiąc, w nagłówku kolumny region, wartością niech będzie licznik Identyfikatorów (w wierszu Podsumowania dla pola Identyfikator zastosuj funkcję Policz). Zadanie 5 Problem można rozwiązać za pomocą tylko jednej kwerendy, wykorzystując funkcję warunkową IIf() i funkcję zwracającą pozycję łańcucha w innym łańcuchu znaków InStr(). W kwerendzie wybierającej umieść pole Kraje.kraj oraz dwa pola obliczane: jpg i png, o wartościach 0 lub 1, zależnie od tego czy pole Malware.adres zawiera szukany ciąg znaków, odpowiednio:”.jpg” lub ”.png” jpg: Suma(IIf(InStr(1;[Malware]![adres];".jpg");1;0)) png: Suma(IIf(InStr(1;[Malware]![adres];".png");1;0)) Dodaj wiersz podsumowania: grupuj po krajach, dla pól jpg i png wybierz funkcję Suma. Dla pól obliczanych jpg i png ustaw kryteria >0, zapisane w osobnych wierszach projektu kwerendy, aby wystąpiły alternatywnie.