Escenario:
Usted es un analista de ciberseguridad que trabaja en el Centro de Operaciones de Seguridad (SOC) de BookWorld, una amplia librería en línea reconocida por su amplia selección de literatura. BookWorld se enorgullece de brindar una experiencia de compra segura y fluida para los entusiastas de los libros de todo el mundo. Recientemente, se le ha encomendado la tarea de reforzar la postura de ciberseguridad de la empresa, monitorear el tráfico de la red y garantizar que el entorno digital permanezca a salvo de amenazas.
Una tarde, una alerta automática se activa por un aumento inusual en las consultas a la base de datos y el uso de recursos del servidor, lo que indica una posible actividad maliciosa. Esta anomalía genera preocupaciones sobre la integridad de los datos de los clientes y los sistemas internos de BookWorld, lo que provocó una investigación inmediata y exhaustiva.
Como analista principal de este caso, debe analizar el tráfico de la red para descubrir la naturaleza de la actividad sospechosa. Sus objetivos incluyen identificar el vector de ataque, evaluar el alcance de cualquier posible violación de datos y determinar si el atacante obtuvo más acceso a los sistemas internos de BookWorld.
1.- Al conocer la IP del atacante, podemos analizar todos los registros y acciones relacionadas con esa IP y determinar el alcance del ataque, la duración del ataque y las técnicas utilizadas. ¿Puedes proporcionar la IP del atacante?
La dirección del atacante es 111.224.250.131. La información se obtuvo con la herramienta Wireshark. Al analizar el archivo WebInvestigation.pcap con la Wireshark en la columna Info de la herramienta encontré intentos de inyección SQL, en el frame número 357 como se muestra en la siguiente imagen.
2.- Si se sabe que el origen geográfico de una dirección IP es de una región que no tiene negocios ni tráfico esperado con nuestra red, esto puede ser un indicador de un ataque dirigido. ¿Puedes determinar la ciudad de origen del atacante?
Para responder esta pregunta utilizaremos la herramienta GeoIP de MaxMind.
3.- La identificación del script explotado permite a los equipos de seguridad comprender exactamente qué vulnerabilidad se utilizó en el ataque. Este conocimiento es fundamental para encontrar el parche o la solución adecuada para cerrar la brecha de seguridad y evitar futuras explotaciones. ¿Puede proporcionar el nombre del script vulnerable?
El nombre script vulnerable es search.php.
El primer intento de inyección SQL está en el frame número 357 y la URI es: /search.php?search=book%20and%201=1;%20--%20-
5.- ¿Puede proporcionar el URI de solicitud completo que se utilizó para leer las bases de datos disponibles del servidor web?
La URI completa para leer la base de datos disponibles es: /search.php?search=book%27%20UNION%20ALL%20SELECT%20NULL%2CCONCAT%280x7178766271%2CJSON_ARRAYAGG%28CONCAT_WS%280x7a76676a636b%2Cschema_name%29%29%2C0x7176706a71%29%20FROM%20INFORMATION_SCHEMA.SCHEMATA--%20-
6.- Evaluar el impacto de la violación y el acceso a los datos es crucial, incluido el daño potencial a la reputación de la organización. ¿Cuál es el nombre de la tabla que contiene los datos de los usuarios del sitio web?
El nombre de la tabla que contine los datos de los usuarios del sitio web se llama customers.
7.- Los directorios de sitios web ocultos al público podrían servir como un punto de acceso no autorizado o contener funcionalidades confidenciales que no están destinadas al acceso público. ¿Puede proporcionar el nombre del directorio descubierto por el atacante?
El directorio descubierto por el atacante es el directorio admin.
8.- Saber qué credenciales se utilizaron nos permite determinar el alcance del compromiso de la cuenta. ¿Cuáles son las credenciales utilizadas por el atacante para iniciar sesión?
Las credenciales utilizadas por el atacante fueron (admin:admin123!).
Con las credenciales antes mencionadas al enviarlas al servidor y ser procesadas por servidor, se realiza una redirección código de estado 302. Luego, de la redirección recibimos un código de estado 200.
9.- Necesitamos determinar si el atacante obtuvo más acceso o control en nuestro servidor web. ¿Cuál es el nombre del script malicioso subido por el atacante?
El nombre del script subido por el atacante es NVri2vhp.php. Con la herramienta NetworkMiner analice el archivo WebInvestigation.pcap.
Como se muestra en la imagen anterior el atacante subió un archivo con extensión .php. En el cual está utilizando la función exec() de PHP para ejecutar programas externos. En este caso el atacante usa un comando para ejecutar una bash interactiva y redirecciona la salida de este a su máquina atacante a través del puerto 443.
Happy Hack!!!
Comentarios
Publicar un comentario