Escenario
¡Bienvenido, Defensor! Como respondedor de incidentes, le otorgamos acceso a la cuenta de AWS denominada "Seguridad" como usuario de IAM. Esta cuenta contiene una copia de los registros durante el período de tiempo del incidente y tiene la capacidad de asumir el rol de "Seguridad" en la cuenta de destino para que pueda buscar las configuraciones incorrectas que permitieron que ocurriera este ataque.
Ámbito
Las credenciales anteriores le dan acceso a la cuenta de seguridad, que puede asumir el rol de "seguridad" en la cuenta de destino. También tiene acceso a un depósito de S3, denominado Faults2_logs, en la cuenta de seguridad, que contiene los registros de CloudTrail registrados durante un compromiso exitoso.
Preguntas
¿Cuál es el comando completo de la CLI de AWS que se utiliza para configurar las credenciales?
El comando completo para configurar las credenciales es: aws configure.
¿Cuál es la fecha de 'creación' del depósito 'flaws2-logs'?
La fecha de creación es: 2018-11-19 20:54:31 UTC. La información se obtuvo ingresando a la siguiente url: https://flaws2-security.signin.aws.amazon.com/console se les pedirá las credencias proporcionadas en el laboratorio username:security y password:password.
Seleccionamos el icono S3, se mostrará la siguiente información.
La fecha que se muestra en la imagen difiere de la fecha que se entrega como respuesta. La razón es que la fecha que se entrega como respuesta debe estar en tiempo UTC+0 y la fecha proporcionada por la plataforma aws está en tiempo UTC-03.
Una breve explicación sobre el tiempo UTC
El tiempo UTC que en español se traduce Tiempo Universal Coordinado que está muy relacionado con el tiempo GMT Tiempo Medio Greenwich. Se considera el meridiano de Greenwich como tiempo UTC+0. Por lo tanto, todos los países que están a la izquierda del meridiano de Greenwich tendrán una hora UTC- y los que están a la derecha tendrán un UTC+.
Como se llegó al cálculo de la fecha UTC para responder a esta pregunta. Recordemos que en la respuesta se debe entregar la fecha en formato UTC+0.
Como la fecha entregada en por la plataforma está en UTC-3 lo único que debemos hacer es suma a la fecha entregada 3 horas.
Si la suma pasa la media noche, es decir, es superior a 00:00:00 hrs. de debe modificar la fecha es decir sumar un día.
La dirección IP es: 34.234.236.212. La información se obtuvo del archivo 653711331788_CloudTrail_us-east-1_20181128T2310Z_7J9NEIxrjJsrlXSd.json.
Prime se debe descargar los archivos log.
Luego se debe analizar cada archivo realizando una búsqueda por fecha y hora. Para llevar a cabo esta tarea se utilizó la herramienta online JSON Viewer (https://codebeautify.org/jsonviewer).
¿Qué dirección IP no pertenece a la infraestructura de Amazon AWS?
La dirección IP no perteneciente a la infraestructura de Amazon AWS es: 104.102.221.250. La información se obtuvo de los archivos log específicamente de los siguientes archivos log.
653711331788_CloudTrail_us-east-1_20181128T2305Z_zKlMhON7EpHala9u.json
653711331788_CloudTrail_us-east-1_20181128T2310Z_7J9NEIxrjJsrlXSd.json
653711331788_CloudTrail_us-east-1_20181128T2310Z_A1lhv3sWzzRIBFVk.json
653711331788_CloudTrail_us-east-1_20181128T2310Z_jJW5HfNtz7kOnvcP.json
653711331788_CloudTrail_us-east-1_20181128T2310Z_jQajCuiobojD8I4y.json
653711331788_CloudTrail_us-east-1_20181128T2310Z_rp9i9zxR2Vcpqfnz.json
Se dedujo la dirección IP revisando los siguientes parámetros de los objetos JSONs.
¿Qué usuario emitió la solicitud 'ListBuckets'?
El nombre de usuario que emitió la solicitud ListBuckets es: level3. La información se obtuvo del archivo log 653711331788_CloudTrail_us-east-1_20181128T2310Z_jQajCuiobojD8I4y.json. Se analizaron los parámetros de los objetos JSONs de tipo eventName.
¿Cuál fue la primera solicitud emitida por el usuario 'level1'?
La primera solicitud emitida por el usuario 'level1' es: CreateLogStream. La información se obtuvo del archivo log 653711331788_CloudTrail_us-east-1_20181128T2305Z_83VTWZ8Z0kiEC7Lq.json.
Happy Hack!!!
Comentarios
Publicar un comentario