Escenario:
Es posible que un servidor Linux esté comprometido y se necesita un analista de redes sociales para comprender qué sucedió realmente. Se proporcionan volcados del disco duro e instantáneas de la memoria de la máquina para resolver el desafío.
Preguntas:
1.- El atacante estaba realizando un ataque de Fuerza Bruta. ¿Qué cuenta activó la alerta?
La cuenta que activo la alerta es ulysses. La información se obtuvo analizando la imagen de disco victoria-v8.sda1.img.
Para realizar el análisis monte la imagen en mi estación de trabajo, en este caso SIFT Workstation. Cree un directorio llamado analisis_forense en el directorio /mnt. Luego con el siguiente comando monte la imagen.
sudo mount victoria-v8.sda1.img /mnt/analisis_forense
Como se mencionó en la pregunta el atacante realizó fuerza bruta a la cuenta de usuario ulysses al servicio ssh.
2.- ¿Cuántos intentos fallidos hubo allí?
Los intentos fallidos fueron 32. La información se obtuvo del archivo auth.log.
3.- ¿Qué tipo de sistema se ejecuta en el servidor de destino?
El tipo de sistema que se ejecuta en el servidor de destino es Debian GNU/Linux 5.0. La información se obtuvo del directorio /etc del archivo issue.
4.- ¿Cuál es la dirección IP de la víctima?
La dirección IP de la victima es 192.168.56.102. La información se obtuvo del archivo dhcp3 ubicada en el directorio /var/lib/dhcp3.
El archivo dhcp3 guarda todas las asignaciones de direcciones IP. Por lo tanto, debemos fijarnos el parámetro rebind que indica la fecha y la hora de la asignación de dirección IP. Entonces debemos fijarnos en la fecha y hora más reciente para saber la dirección IP de la máquina.
5.- ¿Cuáles son las dos direcciones IP del atacante? Formato: separados por comas en orden ascendente.
Las direcciones IPs del atacante son 192.168.56.1, 192.168.56.101. La información se obtuvo realizando una búsqueda de los archivos que pudieran estar relacionado con la dirección IP 192.168.56.1. Cabe recordar, que la dirección IP 192.168.56.101 es la dirección IP identificada como dirección atacante para realizar fuerza bruta. Por lo tanto, nuestra primera IP del atacante.
Como se muestra en la imagen un correo electrónico al parecer intenta de realizar un desbordamiento de búfer, Además, los correo son rechazados y se asocian al dirección IP 192.168.56.101.
Con la herramienta Volatility2 obtendré las conexiones de red de la máquina víctima.
Como se muestra en la imagen se establecen conexiones tanto de la dirección IP 192.168.56.1 y la dirección IP 192.168.56.101. Aquí Otra cosa que llamo mi atención es el puerto de conexión de la dirección IP 192.168.56.1 con número de puerto 4444, este número de puerto es el número por defecto utilizado por el Framework Metasploit.
Por último, en el archivo paniclog del directorio /var/log/exim4, se muestra el mensaje de log "string too large in smtp_notquit_exit()".
6.- ¿Cuál es el número PID del servicio "nc" que se estaba ejecutando en el servidor?
El número PID del servicio NC que se está ejecutando en el servidor es 2169. La información se obtuvo con la herramienta Volatility2.
7.- ¿Qué servicio se explotó para obtener acceso al sistema? (una palabra)
El servicio explotado es exim4. ver pregunta número 5, hay evidencia suficiente que se está realizando un ataque de desbordamiento de búfer.
8.- ¿Cuál es el número CVE de vulnerabilidad explotada?
El CVE de la vulnerabilidad explotada es CVE-2010-4344. La información se obtuvo de la página web de mitre.org.
9.- Durante este ataque, el atacante descargó dos archivos al servidor. Proporcione el nombre del archivo comprimido.
El archivo que se descargó durante el ataque es rk.tar. La información se obtuvo del del archivo rejectlog ubicado en el directorio /var/log/exim4.
10.- Dos puertos estuvieron involucrados en el proceso de exfiltración de datos. Proporcione el número de puerto del más alto.
El número de puerto más alto es 8888. La información se obtuvo con la herramienta Volatility2.
11.- ¿Qué puerto intentó bloquear el atacante en el firewall?
El puerto que intento bloquear el atacante es 45295. La información se obtuvo del archivo rk.tar que descargo el atacante en el directorio /tmp. Al descomprimir el directorio hay un archivo install.sh en el que se configura una regla de firewall que bloquea el puerto 45295.
Comentarios
Publicar un comentario