CyberDefenders Hacked Walkthrough

 

Escenario

Ha sido llamado para analizar un servidor web Linux comprometido. Averigüe cómo obtuvo acceso el actor de la amenaza, qué modificaciones se aplicaron al sistema y qué técnicas persistentes se utilizaron. (por ejemplo, puertas traseras, usuarios, sesiones, etc.).

Preguntas

¿Cuál es la zona horaria del sistema?

La zona horaria del sistema es Europe/Brussels. La evidencia se obtuvo analizando la imagen con la herramienta FTK Imager. Con la herramienta se analizó el archivo timezone ubicado en la ruta /etc/timezone. 

¿Quién fue el último usuario en iniciar sesión en el sistema?

El último usuario en iniciar sesión en el sistema fue el usuario mail. La evidencia se obtuvo con la herramienta FTK Imager. Se analizó el archivo auth.log del sistema, que está ubicado en la ruta /var/log/auth.log

Con la misma herramienta se exporto el archivo para analizarlo con las funciones cat y grep de Linux. EL comando utilizado es cat auth.log | grep -i "192.168.210.131"

¿Cuál fue el puerto de origen desde el que se conectó el usuario mail?

El puerto de origen desde el cual se conectó el usuario mail es 57708. La evidencia se obtuvo analizando el archivo auth.log

¿Cuánto duró la última sesión del usuario mail? (Solo minutos)

La última sesión del usuario mail duro solo un minuto (1 min.). La evidencia se obtuvo analizando el archivo auth.log

¿Qué servicio de servidor utilizó el último usuario para iniciar sesión en el sistema?

El último usuario utilizó el servicio sshd para conectar con el servidor. La evidencia se obtuvo analizando el archivo auth.log

¿Qué tipo de ataque de autenticación se realizó contra la máquina de destino?

El tipo de ataque de autenticación que se realizó es un ataque de fuerza bruta (brute-force).

La evidencia se obtuvo analizando el archivo auth.log. Como se puede apreciar en la imagen existen múltiples intentos de inicio de sesión al servicio ssh de la máquina víctima, lo que da cuenta que se está utilizando la autenticación por fuerza bruta.

¿Cuántas direcciones IP se enumeran en el archivo /var/log/lastlog?

El número de direcciones IP que se enumeran en el archivo /var/log/lastlog son 2. 192.168.210.131 y 192.168.56.101.

La evidencia se obtuvo con la herramienta FTK Imager, para exportar el archivo y la función strings de Linux.

¿Cuántas usuarios tienen un shell de inicio de sesión?

El número de usuario que tiene un shell de inicio de sesión son 5. La evidencia se obtuvo con la herramienta FTK Imager para exportar el archivo passwd del directorio /etc/passwd y la función cat de Linux para analizar su contenido.

¿Cuál es la contraseña del usuario de mail?

La contraseña del usuario mail es forensics. La información se obtuvo con la herramienta john the ripper y el diccionario rockyou.txt. Cabe mencionar que el archivo al cual se aplica el ataque de fuerza bruta es el archivo shadows ubicado en la ruta /etc/shadow.

¿Qué cuenta de usuario creó el atacante?

La cuenta de usuario que creo el atacante es php. La evidencia se obtuvo analizando el archivo auth.log.

Como se observa en la imagen se ejecutó un comando COMMAND=/usr/sbin/useradd -d /usr/php -m --system --shell /bin/bash --skel /etc/skel -G sudo php. Esto indica que se crea un usuario php y se le asigna acceso bin/bash.

¿Cuántos grupos de usuarios existen en la máquina?

El número de grupo que existen en la máquina es 58. La evidencia se obtuvo con la herramienta FTK Imager para exportar el archivo group en la ruta /etc/group. Para luego analizarlo con la función cat y wc de Linux.

¿Cuántos usuarios tienen acceso a sudo?

El número de usuario que tienen acceso sudo son 2. La evidencia se obtuvo analizando el archivo group del Linux con la función cat de Linux. Como resultado se obtiene que los usuarios php y mail tienen atributo sudo.

¿Cuál es el directorio de inicio (home) del usuario de PHP?

El directorio de inicio (home) del usuario php es /usr/php. La evidencia se obtuvo analizando el archivo passwd y la función cat y grep de Linux.

¿Qué comando usó el atacante para obtener el privilegio de root? (La respuesta contiene dos espacios).

El comando utilizado por el atacante es sudo su - . La evidencia se obtuvo analizando el archivo .bash_history. Se utilizó la función cat de Linux.

¿Qué archivo eliminó el usuario root?

El archivo que elimino el usuario root es 37292.c . La evidencia se obtuvo al analizar el archivo .bash_history del usuario root.

Recupere el archivo eliminado, ábralo y extraiga el nombre del autor del exploit.

El nombre del autor del expliot es rebel. La evidencia se obtuvo buscando el exploit en la base de datos (Exploit Database).

Nota

Se solita la extracción del archivo para luego ábrirlo y analizarlo para extraer el nombre del autor del exploit. Por razones de compatibilidad de mi máquina DEFT (Digital Evidence & Forensic Toolkit) y las heramientas utilizadas para el análisis, no pude extraer el archivo. Por lo tanto, como teniamos el nombre del archivo lo busque en una base de datos de exploit, para poder responder la pregunta. 

¿Cuál es el sistema de administración de contenido instalado en la máquina?

El sistema de administración de contenido es Drupal. La evidencia se obtuvo analizando el directorio /var/html y el archivo .htaccess con la herramienta FTK Imager.

Como se puede observar en la imagen el archivo .htaccess nos indica que el cms instalado es Drupal y su versión es 7. Para comprovar la veracidad de la evidencia analizaremos el contenido del directorio /etc/.

Nota

El directorio /etc/ es el directorio encardo de almacenar archivos de configuración tanto a nivel de componentes del sistema operativo en si, como de los programas y aplicaciones instaladas. 

¿Cuál es la versión del CMS instalado en la máquina?

La versión del CMS instalado es la 7.26. La evidencia se obtuvo analizando el archivo bootstrap.inc.

Según la documentación de Drupal el archivo changelog.txt ubicado en la raíz del directorio Drupal se puede obtener la versión de Drupal. Si falta este archivo se puede obtener la versión desde el archivo bootstrap.inc ubicado en el directorio /include/bootstrap.inc.

Cabe mencionar, que el archivo changelog.txt es visible desde el navegador web, por lo tanto, se recomienda ocultar este archivo o eliminarlo para evitar que se realice enumeración del sitio web creado con Drupal.

Nota

La enumeración es una de las fase utilizadas en el proceso de evaluación de seguridad de un sistema informático utilizadas por expertos en ciberseguridad para recopilar información del sistema objetivo. Por ejemplo, puertos de red abiertos en la máquina objetivo, versiones de los sistemas instalados, etc. Esta información se puede obtener a través de la enumeración activa (interactuando con la máquina objetivo) o a través de la enumeración pasiva (obteniendo información de fuentes abiertas).

¿Qué puerto estaba escuchando para recibir el shell inverso del atacante?

El puerto que estaba escuchando para recibir el shell inverso del atacante es 4444. La evidencia se obtuvo analizando el archivo access.log 

Al analizar el archivo access.log llama la atención que existen solicitudes POST al servidor con valores de parámetros codificados en base64. Por lo tanto, toca decodificar esos valores de parámetros para analizarlos.

Como se puede observar en la imagen lo enviado al servidor es un script php (payload) que genera la conexión al servidor del atacante. También se puede observar la dirección IP del atacante y el puerto que es 4444.