Wiązka. Malware (0-13) Malware Domain List to niekomercyjny

Wiązka. Malware (0-13) Malware Domain List to niekomercyjny

Wiązka. Malware (0-13)
Malware Domain List to niekomercyjny projekt społecznościowy, w którym tworzona jest
lista adresów stron internetowych i dokumentów stwarzających zagrożenie: trojanów,
exploitów itp. Listę na bieżąco uzupełniają profesjonalni entuzjaści bezpieczeństwa w sieci.
W pliku malware.txt znajdują się pozycje z tej listy, wybrane z okresu od stycznia 2014 do
stycznia 2015 roku włącznie. Podano datę umieszczenia wpisu, opis zagrożenia, adres
szkodliwej strony lub dokumentu, numer IP komputera udostępniającego tę stronę oraz numer
ASN sieci, do której ten komputer należy. Przykład:
data
2014-12-17
2014-12-04
2014-11-25
IP
62.76.74.228
31.41.218.232
89.218.31.11
opis
Trojan.Downloader
CryptoLocker
Script.exploit
ASN
51408
42655
9198
adres
my-screenshot.net
mysda24.com/f/pacchetto_38.zip
zakonodatelstvo.kz/russ.html
W pliku asn.txt znajduje się informacja o sieciach komputerowych. ASN (Autonomic System
Number) jest identyfikatorem sieci, nadawanym przez światowe organy zarządzające
zasobami internetowymi i wykorzystywanym w konfiguracji routerów. W pliku podano:
numer ASN, nazwę firmy zarządzającej siecią (siec), internetowy identyfikator kraju
(ID_kraju) oraz nazwę regionu, któremu sieć podlega. Przykład:
asn
ID_kraju
1267 it
2514 jp
2914 us
region
ripencc
apnic
arin
siec
ASN-INFOSTRADA WIND Telecomunicazioni S.p.A.
INFOSPHERE NTT PC Communications, Inc
NTT-COMMUNICATIONS-2914 - NTT America, Inc
Regionalne organizacje przydzielające adresy ASN obejmują:
apnic (Asia Pacific Network Information Centre) – rejon Azji i Pacyfiku,
arin (American Registry for Internet Numbers) – rejon Ameryki Północnej,
lacnic (Latin-American and Caribbean) – rejon Ameryki Łacińskiej i wysp Karaibskich,
ripencc (Réseaux IP Européens) –rejon Europy, Bliskiego Wschodu i centralnej Azji,
afrinic –rejon Afryki.
W pliku kraje.txt podano nazwy krajów oraz ich 2-literowe identyfikatory internetowe, np.:
kraj
Australia
France
Hungary
ID_kraju
au
fr
hu
Wszystkie dane w wierszach oddzielone są znakiem tabulacji.
Rozwiąż poniższe zadania wykorzystując dostępne narzędzia informatyczne. Wyniki umieść
w pliku tekstowym o nazwie ……………………. Do oceny oddaj plik tekstowy zawierający
wyniki, oraz plik zawierający realizację komputerową rozwiązania.
Zadanie 1 (0-1)
Znajdź te pozycje złośliwego oprogramowania, których celem jest pishing, czyli wyłudzanie
informacji od użytkownika (w polu: opis zawierają łańcuch znaków: phish lub Phish). Podaj
pełną listę, uporządkowaną alfabetycznie według kraju, zawierającą dla każdej pozycji:
 nazwę kraju, z którego pochodzi komputer,
 opis zagrożenia (opis),
 pełną ścieżkę dostępu do szkodliwego pliku (adres)
Zadanie 2 (0-3)
Dla każdej z pięciu sieci, które udostępniły najwięcej pozycji złośliwego oprogramowania,
podaj ich nazwę (siec), nazwę kraju, oraz liczbę udostępnionych pozycji oprogramowania
i liczbę różnych adresów IP, z których to oprogramowanie udostępniono.
Zadanie 3 (0-3)
Dla każdego wpisu na listę malware wyznacz domenę, z której udostępniono szkodliwe
oprogramowanie. Nazwa domeny zawiera kolejne znaki pola adres, od lewej strony, aż do
znaku ”/”, bez tego znaku.
Podaj liczbę różnych domen, z których pochodzi szkodliwe oprogramowanie.
Serwer DNS można tak skonfigurować, aby odpowiadał kilkoma adresami IP dla jednej
domeny. Wyszukaj wśród domen te pozycje, którym odpowiada więcej niż jeden numer IP.
Podaj nazwy tych domen i odpowiadające im liczby różnych adresów IP.
Zadanie 4 (0-3)
Sporządź zestawienie w postaci tabeli, w której dla każdego miesiąca roku 2014 podasz
liczbę zarejestrowanych pozycji złośliwego oprogramowania, w podziale na poszczególne
regiony: apnic, arin, lacnic, ripencc, afrinic. W zestawieniu nie uwzględniaj danych ze
stycznia 2015 r.
Zadanie 5 (0-3)
Złośliwe oprogramowanie może być ukryte w plikach graficznych i uaktywniać się podczas
wyświetlania obrazu, wykorzystując luki w programach odtwarzających obraz.
Wybierz wszystkie pozycje z listy malware.txt, informujące o złośliwym kodzie ukrytym
w obrazach zapisanych w formatach: jpg i png (pole adres zawiera ”.jpg” lub ”.png”). Podaj
z których krajów pochodzą komputery udostępniające te pliki.
Sporządź zestawienie w postaci tabeli, w której dla każdego kraju udostępniającego złośliwy
kod w plikach graficznych podasz liczby tych plików, z podziałem na format jpg i png.
Model odpowiedzi do wiązki zadań
Zadanie 1
Poprawna odpowiedź:
Lp kraj
opis
1 Russia redirects to AppleId
phishing
2 Spain AppleId phishing
3
4
5
Luxem
bourg
Luxem
bourg
USA
6
7
adres
andreyzakharov.com/wp-content/plugins/wp-nocategory-base/generic/
www.matecocinas.com/productos/mesas/mesabrenda/4rfv/
AusPost Phish, leads to austr-post.net/open/scripts.js
trojan - js
AusPost Phish, leads to austr-post.net/open/index.php
trojan - php
Destination of banking whitehorsetechnologies.net/images/clients/x/mail.php
phishing
Amazon phishing
www.amazonsicherheitonline.com/
Amazon phishing
cc8.joseppe.ru/de/amazon/amazon_check.php
Russia
Germa
ny
8 France HTML.ScrRedir.Phish rec-danse.fr/tmp/photos6.php
9 France PHP.Phish
rec-danse.fr/tmp/4640731669/
10 France Phish Postbank rec-danse.fr/tmp/stat.php
stat.php
11 France Phish Postbank rec-danse.fr/tmp/very.php
very.php
12 France Phish Postbank - p.html rec-danse.fr/tmp/p.html
13 France JS.exploit, BoA phish gulsproductions.com/css/bank-of-america-credit-cardpayment-mailing-address
14 France Google phish www.lajourneeducommercedeproximite.fr/jncp/images
adw.html
/documents/mouy/adw.html
15 France Google phish
www.lajourneeducommercedeproximite.fr/jncp/images
/documents/mouy/
16 France Google phish
tremplin84.fr/components/BIG/2013gdocs/
Zadanie 2
Poprawna odpowiedź:
siec
OVH OVH SAS
AMAZON-02 - Amazon.com, Inc.
AS-COLOCROSSING - ColoCrossing
HWNG Eweka Internet Services B.V.
INFOBOX-AS Infobox.ru Autonomous System
kraj
France
USA
USA
Netherlands
Russia
liczbaIP
28
11
4
3
1
licznikPozycji
375
190
116
99
52
Zadanie 3
Poprawna odpowiedź:
687 różnych domen
trzy domeny mają przypisane więcej niż jeden IP
f.cl.ly
9
directxex.com
5
dl.downf468.com 3
Zadanie 4
Poprawna odpowiedź
Miesiac
afrinic
1
2
3
4
5
6
7
8
9
10
11
12
apnic
4
21
12
1
56
1
8
1
1
2
1
190
Zadanie 5
Poprawna odpowiedź:
kraj
France
Germany
Russia
USA
jpg
2
0
0
38
png
1
1
5
1
arin
lacnic ripencc
20
118
81
2
202
52
3
110
31
3
27
53
4
128
3
68
119
6
117
1
5
12
4
51
8
7
14
128
7
1
24
Schemat punktowania do wiązki zadań
Zadanie 1 (0-1)
Za pełną poprawną listę 16 pozycji – 1 punkt
Zadanie 2 (0-3)
Za poprawne nazwy 5 sieci wraz z nazwami krajów – 1 punkt
Za poprawne liczby pozycji oprogramowania w każdej sieci – 1 punkt
Za poprawne liczby różnych adresów IP w każdej sieci – 1 punkt
Zadanie 3 (0-3)
Za poprawną liczbę różnych domen – 1 punkt
Za poprawną listę 3 domen wraz z liczbą IP – 2 punkty
(jeśli lista nie zawiera liczby adresów IP to 1 punkt)
Zadanie 4 (0-3)
Za poprawne zestawienie tabelaryczne – 3 punkty
jeśli podano poprawne zestawienie liczby malware osobno dla każdego regionu, to 2 punkty,
jeśli zestawienie obejmuje także styczeń 2015 roku, to odjąć 1 punkt.
Zadanie 5 (0-3)
Za poprawne zestawienie nazw 4 krajów – 1 punkt
Za poprawne liczby plików .jpg dla każdego kraju w zestawieniu – 1 punkt
Za poprawne liczby plików .png dla każdego kraju w zestawieniu – 1 punkt
Metryczka zadania
Etap edukacyjny
Przedmiot
Wymagania ogólne
Wymagania szczegółowe
Charakterystyka zadania
IV
informatyka
III. Rozwiązywanie problemów i podejmowanie decyzji
z zastosowaniem podejścia algorytmicznego.
2. Wyszukiwanie, gromadzenie, selekcjonowanie,
przetwarzanie i wykorzystywanie informacji,
współtworzenie zasobów w sieci, korzystanie z różnych
źródeł i sposobów zdobywania informacji.
1) projektuje relacyjną bazę danych z zapewnieniem
integralności danych;
2) stosuje metody wyszukiwania i przetwarzania
informacji w relacyjnej bazie danych (język SQL);
Materiał źródłowy
malware.txt, asn.txt, kraje.txt
Punktacja
13 punktów
Rozwiązania zadań
Zadania sprawdzają umiejętność sortowania i filtrowania danych, grupowania i zliczania,
budowy pól obliczanych, przetwarzania łańcuchów znakowych.
Zaimportuj dane z plików tekstowych do tabel. Jako pola kluczowe w tabelach wybierz:
 dla malware: utwórz dodatkowe pole Identyfikator, które będzie jednocześnie
kolejnym numerem rekordu w tabeli
 dla asn: pole ASN
 dla krajów: pole ID_kraju
Ustaw połączenia kluczy głównych i kluczy obcych w tabelach:
 pole ASN łączy tabele: Malware i Asn
 pole ID_kraju łaczy tabele: Asn i Kraje
Zadanie 1
Kwerenda wybierająca niech zawiera pola: Kraje.kraj, Malware.opis i Malware.adres
Dla pola opis ustaw kryterium: zawiera phish lub zawiera Phish.
Uwaga: Microsoft Access domyślnie nie rozróżnia wielkości liter, wystarczy jeden warunek.
Zadanie 2
Rozwiążmy problem przy użyciu dwóch prostych kwerend. Pierwsza niech wybierze pola
Kraje.kraj, Asn.siec, Malware.IP i Malware.Identyfikator. Dodaj wiersz podsumowania.
Grupuj pola: IP, kraj i siec, dla pola Identyfikator wybierz funkcję Policz.
Druga kwerenda, utworzona na podstawie tej pierwszej, niech grupuje pola kraj i siec, do pola
PoliczOfIdentyfikator zastosuje funkcję Suma, zaś do pola IP funkcję Policz.
Posortuj rekordy malejąco względem sumy Identyfikatorów i wybierz pierwsze 5 rekordów.
Zadanie 3
Aby wyłuskać nazwę domeny z adresu, umieść w kwerendzie dwa pola obliczeniowe, które
będą odwoływać się do pola Malware.domain. Dodaj ko kwerendy także pole Malware.IP.
Pierwsze pole obliczeniowe niech zwróci pozycję znaku ‘/’ w łańcuchu znaków pola adres.
Znak ten występuje po nazwie domeny. Wykorzystaj w tym celu funkcję InStr() języka SQL:
dlugosc: InStr(1;[Malware]![adres];"/")
Drugie pole obliczane niech zwróci łańcuch znaków wycięty z lewej strony pola adres,
o długości wyznaczonej powyżej (minus 1, aby nie zawierał znaku ‘/’). Wykorzystaj w tym
celu funkcję Left() języka SQL:
adres: Left([Malware]![adres];[dlugosc]-1)
Utwórz drugą kwerendę na podstawie pierwszej, zgrupuj w niej pola domena oraz IP.
Trzecia kwerenda, zbudowana na podstawie drugiej, niech grupuje domeny, zaś do pola IP
zastosuj funkcję Policz. Posortuj rekordy malejąco względem liczników IP i ustaw kryterium
dla liczników: >1.
Zadanie 4
Pierwsza kwerenda niech wybiera rekordy z roku 2014. Powinna zawierajać pola:
Malware.Identyfikator, Asn.region oraz pole obliczane Miesiąc: Month([Malware]![data]).
Filtr na rok 2014 ustawimy tworząc pole obliczane Rok_2014: Year([Malware]![data]) i
ustawiając dla niego kryterium: 2014.
Druga kwerenda, krzyżowa, zbudowana na podstawie poprzedniej kwerendy, niech przyjmie
w nagłówku wiersza miesiąc, w nagłówku kolumny region, wartością niech będzie licznik
Identyfikatorów (w wierszu Podsumowania dla pola Identyfikator zastosuj funkcję Policz).
Zadanie 5
Problem można rozwiązać za pomocą tylko jednej kwerendy, wykorzystując funkcję
warunkową IIf() i funkcję zwracającą pozycję łańcucha w innym łańcuchu znaków InStr().
W kwerendzie wybierającej umieść pole Kraje.kraj oraz dwa pola obliczane: jpg i png,
o wartościach 0 lub 1, zależnie od tego czy pole Malware.adres zawiera szukany ciąg
znaków, odpowiednio:”.jpg” lub ”.png”
jpg: Suma(IIf(InStr(1;[Malware]![adres];".jpg");1;0))
png: Suma(IIf(InStr(1;[Malware]![adres];".png");1;0))
Dodaj wiersz podsumowania: grupuj po krajach, dla pól jpg i png wybierz funkcję Suma.
Dla pól obliczanych jpg i png ustaw kryteria >0, zapisane w osobnych wierszach projektu
kwerendy, aby wystąpiły alternatywnie.