Escenario
Todo el mundo ha oído hablar de los ataques dirigidos. Detectarlos puede ser un desafío, responder a estos puede ser aún más desafiante. Este escenario pondrá a prueba sus habilidades de análisis de red y basadas en host como analista de soc para descubrir quién, qué, dónde, cuándo y cómo de este incidente. ¡Seguro que hay algo para todos los niveles de habilidad y lo único que necesitas para resolver el desafío es algo de l337 S4uc3!
Preguntas
PCAP: Development.wse.local es un activo fundamental para Wayne and Stark Enterprises, donde la empresa almacena nuevos diseños ultrasecretos de armas. Jon Smith tiene acceso al sitio web y creemos que puede haber sido comprometido, según la alerta de IDS que recibimos hoy. Primero, determine la dirección IP pública del servidor web.
La dirección IP pública del servidor web es 74.204.41.73. La información se obtuvo analizando el archivo GrrCON.pcapng con la herramienta NetworkMiner.
PCAP: Muy bien, ahora necesitamos que determine un punto de partida para la línea de tiempo que será útil para mapear el incidente. Determine la hora de llegada del fotograma 1 en el archivo de pruebas "GrrCON.pcapng".
La hora del primer fotograma es 22:51:07 UTC. La información se obtuvo con la herramienta Wireshark y se configuro la herramienta en UTC (Time Displey Format - UTC Date and Time of days).
PCAP: ¿Qué número de versión de PHP está ejecutando el servidor development.wse.local?
La versión de PHP utilizada en el servidor development.wse.local es la versión 5.3.2. La información se obtuvo con la herramienta Wireshark y aplicando el filtro tcp contains"development.wse.local".
PCAP: ¿Qué número de versión de Apache utiliza el servidor web development.wse.local?
La versión de apache que se está utilizando en el servidor development.wse.local es 2.2.14. La información se obtuvo con la herramienta Wireshark y el filtro tcp contains"development.wse.local".
PCAP: identifique la dirección IP de la puerta de enlace de la LAN porque el equipo de infraestructura informó un problema potencial con el servidor IDS que podría haber dañado el PCAP.
La dirección IP de la puerta de enlace (gateway) es 172.16.0.1. La información se obtuvo con la herramienta NetworkMiner. Cabe recordar que la dirección del servidor comprometido es 172.16.0.108 que es su dirección IP local, y su dirección IP pública es 74.204.41.73. Por lo tanto, con la herramienta NetworkMine en la pestaña Hosts seleccionamos el Host con la dirección IP 172.16.0.108 y revisamos su información para obtener respuesta a nuestra pregunta.
La dirección IP a la cual se intentó hacer ping es 74.125.225.112. La información se obtuvo en la imagen proporcionada en este desafío.
Ahora debemos corroborar esta información para eso utilizaremos la Brim security.
Luego, hacemos clic derecho en la opción "Malware Command and Control Activity Detected" y seleccionamos la opción "Pivot to log" y nos dirigimos al final de la información.
PCAP: es fundamental que el equipo de infraestructura identifique la dirección IP del servidor Zeus Bot CNC para que puedan bloquear la comunicación en el firewall lo antes posible. ¿Por favor proporcione la dirección IP?
La dirección IP del servidor Zeus Bot CNC es 88.198.6.20. La información se obtuvo con la herramienta Brim Security.
PCAP: el equipo de infraestructura también solicita que identifique el nombre del archivo de configuración ".bin" que el bot Zeus descargó justo después de la infección. Proporcione el nombre del archivo.
El nombre del archivo es cf.bin. La información se obtuvo con la herramienta Wireshark y la opción Export objects - HTTP.
Luego en la ventana que nos muestra filtramos por application/octet-stream.
PCAP: ningún otro usuario accedió al sitio de WordPress development.wse.local durante la cronología del incidente y los informes indican que una cuenta inició sesión correctamente desde la interfaz externa. Proporcione la contraseña que usaron para iniciar sesión en la página de WordPress alrededor de las 6:59 p. m. EST.
La contraseña utilizada para iniciar sesión en el sitio de WordPress es wM812ugu. La información se obtuvo con la herramienta NetworkMiner.
PCAP: Tras informar de que efectivamente se accedió a la página de WordPress desde una conexión externa, tu jefe acude a ti furioso por la posible pérdida de documentos confidenciales de alto secreto. Se calma lo suficiente como para admitir que la página de diseños tiene un código de acceso externo para garantizar la seguridad de su información. Antes de marcharse, te da la contraseña de la página de diseños "1qBeJ2Az" y te dice que busques la hora de acceso o te despedirá. ¿Podría facilitarnos la hora de acceso a la página de diseños?
La hora de acceso es 23:04:04 UTC. La información se obtuvo con la herramienta Wireshark y el filtro http contains "1qBeJ2Az".
El puerto de origen del exploit es 39709. La información se obtuvo con la herramienta Wireshark y el filtro "udp.port==31708".
Aquí primero probé con el filtro "tcp.port==31708" al aplicar el filtro no me trajo ningún dato, luego probé con el filtro "udp.port==31708" cual me trajo los datos mostrado en la imagen anterior.
PCAP: ¿Cuál fue la versión del kernel de Linux devuelta por el comando meterpreter sysinfo ejecutado por el atacante?
La versión de kernel devuelta por el comando sysinfo es 2.6.32-38-server. La información se obtuvo con la herramienta Wireshark y el filtro tcp contains "sysinfo".
PCAP: ¿Cuál es el valor del token pasado en el frame 3897?
El valor del token pasado en el frame 3897 es b7aad621db97d56771d6316a6d0b71e9. La información se obtuvo con la herramienta Wireshark y el filtro framer.number==3897.
PCAP: ¿Cuál fue la herramienta que se utilizó para descargar un archivo comprimido del servidor web?
La herramienta utilizada para descargar el archivo fue wget. La información se obtuvo con la herramienta Brim Security y su filtro _path=="http" | count() by user_agent.
Le nombre del archivo es bt.exe. La información se obtuvo con la herramienta Wireshark y el filtro http and ip.addr == 88.198.6.20.
Memory: ¿Cuál es la ruta completa del archivo del shell del sistema generado a través de la sesión meterpreter del atacante?
La ruta completa del archivo es /bin/sh. La información se obtuvo con la herramienta Volatility.
Nota N°1
Para responder la pregunta anterior debemos agregar el perfil (profile) que nos proporciona el desafío para analizar el archivo webserver.vmss que es el volcado de memoria de la máquina comprometida.
En la ruta /usr/local/lib/python2.7/dist-packages/volatility/plugins/overlays/linux debemos copiar el archivo DFIRwebsvr.zip es el perfil de Volatility proporcionado en este desafío para analizar el volcado de memoria.
En mi caso el directorio de overlays/linux, quedaría de la siguiente manera.
Nota N°2
Los archivos con la extensión .vmss se denominan archivos de VMware estado suspendido porque son archivos que salvan el estado de suspensión de la máquina virtual.Memory: ¿Cuál es el ID del proceso principal de las dos sesiones 'sh'?
El ID proceso principal de los dos procesos 'sh' es 1042 (apache2). La información se obtuvo con la herramienta volatility.
El recuento de registros de latencia (latency_record_count) del PID 1274, es 0 (cero). La información se obtuvo con la utilidad linux_volshel.
Obtenemos la consola interactiva de Volatility y utilizamos la instrucción dt("task_struct", 0xffff880006dd8000). donde 0xffff880006dd8000 es el offset de memoria del PID 1274.
Por último, ejecutamos el comando descrito anteriormente.
Memory: para el PID 1274, ¿Cuál es la ruta del primer archivo asignado?
La ruta del primer archivo asignado es /bin/dash. La información se obtuvo con la herramienta Volatility y el comando linux_proc_maps.
Memory: ¿Cuál es el md5hash del archivo receive.1105.3 fuera de la cola de paquetes por proceso?
El md5hash del archivo receive.1105.3 es 184c8748cfcfe8c0e24d7d80cac6e9bd. La información se obtuvo con la herramienta Volatility y el comando linux_pkt_queues.
Luego, con el comando md5sum de Linux calculamos el hash MD5 del archivo.
Comentarios
Publicar un comentario