Escenario:
Durante su turno como analista de SOC de nivel 2, recibe una derivación de un analista de nivel 1 con respecto a un servidor público. Este servidor ha sido marcado por realizar conexiones salientes a múltiples IP sospechosas. En respuesta, usted inicia el protocolo estándar de respuesta a incidentes, que incluye aislar el servidor de la red para evitar posibles movimientos laterales o exfiltración de datos y obtener una captura de paquetes de la utilidad NSM para su análisis. Su tarea es analizar el pcap y evaluar si hay signos de actividad maliciosa.
1.- Al identificar la IP C2, podemos bloquear el tráfico hacia y desde esta IP, lo que ayuda a contener la infracción y evitar una mayor filtración de datos o ejecución de comandos. ¿Puede proporcionar la IP del servidor C2 que se comunicó con nuestro servidor?
Para identificar la dirección IP del servidor C2, utilize la herramienta Brim Security y el filtro "Suricata Alert by Source and Destination"
2.- Los puntos de entrada iniciales son fundamentales para rastrear el vector de ataque. ¿Cuál es el número de puerto del servicio que explotó el adversario?
Al analizar la captura de datos red con la herramienta NetworkMiner el host con dirección IP 134.209.197.3, aloja un servicio web basado en el lenguaje de programación Java.
También analizando la captura con Wireshark se puedo observar el protocolo OpenWire, este es un protocolo de comunicación utilizado por la aplicación Apache ActiveMQ.
3.- Siguiendo con la pregunta anterior, ¿cómo se llama el servicio que se encuentra vulnerable?
El nombre del servicio que se encuentra vulnerable es A***** *******Q.
4.- La infraestructura del atacante suele incluir varios componentes. ¿Cuál es la IP del segundo servidor C2?
Con la herramienta Wireshak utilice la funcionalidad "Export Objects" (File->Export Objects->HTTP) para analizar los objetos HTTP que se transmiten en la captura.
 | ||
Cálculo sha1sum del archivo docker
|
 |
| Resultado VirusTotal |
Como se muestra en la imagen anterior de 61 antivirus 32 de ellos lo detectaron como un archivo malicioso. Por lo tanto, podemos afirmar que el segundo servidor C2 tiene la IP xxx.xxx.xx.72.
5.- Los atacantes suelen dejar rastros en el disco. ¿Cuál es el nombre del ejecutable del shell inverso que se coloca en el servidor?
Como se muestra en la siguiente imagen existe un archivo llamado invoice.xml que se transmitió.
6.- ¿Qué clase de Java invocó el archivo XML para ejecutar el exploit?
En el archivo invoice.xml en la línea número 6 se encuentra la respuesta a esta pregunta.
CVE (Common Vulnerabilities and Exposures) Es un sistema de categorización pública que identifica y enumera las vulnerabilidades de seguridad conocidas en producto de software y hardware. Algunas fuentes de información CVE son:
Para responder a esta pregunta yo utilice la fuente de información NVD como se muestra en la siguiente image.
La respuesta de esta pregunta no se encuentra en el artefacto forense entregado en el desafío (El archivo .pcap), más bien se necesita realizar un análisis de código fuente (source code) de la versión vulnerable de la aplicación ActiveMQ versión > 5.8.0. La fuente de información que utilice para responder esta pregunta es:
- https://paper.seebug.org/3058/
- https://www.rapid7.com/blog/post/2023/11/01/etr-suspected-exploitation-of-apache-activemq-cve-2023-46604/
En mi caso estuve varias horas analizando las páginas anteriores, para
encontrar la respuesta. Según mi criterio creo que para esta pregunta se
necesita tener conocimientos básicos del lenguaje de programación Java.
Comentarios
Publicar un comentario