Usted, como analista de SOC, pertenece a una empresa especializada en alojar aplicaciones web a través de máquinas virtuales basadas en KVM. Durante el fin de semana, una máquina virtual dejó de funcionar y los administradores del sitio temen que esto pueda ser el resultado de una actividad maliciosa. Extrajeron algunos registros del entorno con la esperanza de que puedas determinar qué sucedió.
Preguntas
¿Qué servicio utilizó el atacante para obtener acceso al sistema?
El servicio utilizado por el atacante es SSH. La evidencia se obtuvo con la herramienta Brim Security.
El tipo de ataque utilizado es BruteForce (Fuerza Bruta). La evidencia se obtuvo analizando el archivo hp_challenge.pcap. Las herramienta utilizada para el análisis Wireshark y Brim Security.
Como se observa en la imagen al aplicar el filtro ssh. se observan un conjunto de peticiones ssh.
- El cliente y servidor negocian la versión ssh (frame 4y 6).
- El cliente y servidor intercambian claves públicas para generar para generar una clave secreta (frame 8, 9, 11, 13, 14, 15).
- El cliente responde el mensaje nueva clave (new key).
El patrón descrito anteriormente se repite varias veces, lo que nos hace pensar que hay un ataque de fuerza bruta. Utilizando la herramienta Brim Security se puede observar que hay 54 solicitudes ssh, donde 52 son fallidas y 2 son exitosas.
¿Cuál fue la herramienta que posiblemente perjudicó al atacante para realizar este ataque?
No encontré ninguna huella digital (fingerprint) que indicará la herramienta utilizada, por lo tanto, realicé una búsqueda en Internet sobre herramienta para realizar fuerza bruta al protocolo ssh. bueno la herramienta utilizada es Hydra.
¿Cuántos intentos fallidos hubo?
Hubo 52 intentos fallidos. La evidencia se obtuvo con la herramienta Brim Security.
La credenciales utilizadas para obtener acceso fueron manager:forgot. La evidencia se obtuvo de los archivos shadow.log y sudoers.log, proporcionado en los artefactos entregados en este laboratorio.
¿Qué otras credenciales (nombre de usuario: contraseña) se podrían haber usado para obtener acceso y también tienen privilegios SUDO? Consulte shadow.log y sudoers.log.
La otra credencia que se podrían haber usado para obtener acceso y que también tiene privilegio sudo es sean:spectre.
 |
| Archivo sudoers.log |
La herramienta utilizada para descargar el archivo malicioso es wget. La evidencia se obtuvo con la herramienta Wireshark.
Como estamos frente de un sistema operativo Linux, intuí que la herramienta utilizada era wget, debido que esta herramienta viene incluida en la mayoría de los sistemas operativos Linux.
¿Cuántos archivos descarga el atacante para realizar la instalación de malware?
El atacante descarga 3 archivos. La evidencia se obtuvo con la herramienta Brim Security.
¿Cuál es el hash md5 del malware principal?
El hash md5 del malware principal es 772b620736b760c1d736b1e6ba2f885b. La evidencia se obtuvo analizando el tercer archivo.
Como se observa en la imagen el tercer archivo es un archivo de tipo shell script.
Analizando el tercer archivo se muestra que el shell script comienza con el primer archivo cuyo hash md5 es 772b620736b760c1d736b1e6ba2f885b.
¿Dónde guardaba el malware los archivos locales?
El comando ps -aux se utiliza para listar de forma estática los procesos activos en la máquina y los parámetros -aux es utilizados para ver todos los procesos en sintaxis BSD. Como nuestro malware configuro el archivo rc.local para ejecutarse cuando la máquina sea reiniciada, este proceso debería estar presente al ejecutar el comando ps -aux.
En la imagen anterior no se muestra ninguna coincidencia, lo que indica que es el proceso faltante en el archivo ps.log.
¿Cuál es el archivo principal que se utilizó para eliminar esta información de ps.log?
Luego, con herramienta Cutter analizamos el archivo 1 desempaquetado.
¿Qué archivo ha modificado el script para que el malware se inicie al reiniciar?
El archivo que modifico el script es rc.local. El archivo rc.local es un archivo utilizado por los administradores de Linux para ejecutar comandos cuando se inicia el sistema operativo Linux.
¿Dónde guardaba el malware los archivos locales?
El malware guarda los archivos en el directorio /var/mail/. En el archivo shell script en la línea 2 se muestra el comando mv que apunta al directorio /var/mail/.
¿Qué falta en ps.log?
En el archivo ps.log falta la ejecución del malware. Cabe mencionar que el archivo ps.log fue capturo luego de reiniciar la máquina.
¿Cuál es el archivo principal que se utilizó para eliminar esta información de ps.log?
El archivo que se utilizó para eliminar esta información de ps.log fue sysmod.ko. La evidencia se obtuvo del archivo shell script en las líneas 6 al 8.
El archivo que se utilizó para eliminar esta información de ps.log fue sysmod.ko. La evidencia se obtuvo del archivo shell script en las líneas 6 al 8.
El archivo principal utilizado para eliminar la información es el segundo archivo. El primer archivo es el malware principal, el tercer archivo es el shell script. Por lo tanto, el segundo archivo es el encargado de eliminar la información.
Dentro de la función principal, ¿Cuál es la función que genera solicitudes a esos servidores?
La función que genera solicitudes dentro de la función principal es requestFile. La evidencia se obtuvo con la herramienta UPX y Cutter.
Con la herramienta UPX desempaquetamos el archivo 1.
Dentro de la función principal (main) hay otra función llamada requestFile().
Como se observa en la imagen la función requestFile() ejecuta la utilidad wget. Cabe mencionar, que la utilidad wget permite recuperar contenido y archivos de servidores web.
Una de las IP con las que se contactó el malware comienza con 17. Proporcione la IP completa.
La dirección IP es 174.129.57.253. La evidencia se obtuvo con la herramienta Cutter y NetworkMiner. Con la herramienta Cutter analizamos los Strings.
Luego, con la herramienta NetworkMiner analizamos las solicitudes a la dirección IP 174.129.57.253.
Como se observa en las imágenes anteriores se descargan dos imágenes.
¿Cuántos archivos solicitó el malware de servidores externos?
El malware solicitó 9 archivos a servidores externos. La evidencia se obtuvo con la herramienta Cutter y NetworkMiner. Si analizamos los strings del malware hay 4 direcciones IP.
Las instrucciones son NOP, RUN. Con la herramienta Cutter se analizó la función processMessage().
Happy Hack!!!
Comentarios
Publicar un comentario