Este honeypot de Ubuntu Linux se puso en línea en Azure a principios de octubre para observar qué sucede con aquellos que explotan CVE-2021-41773.
Inicialmente, hubo una gran cantidad de mineros de criptomonedas que atacaron el sistema. Verá un script cron destinado a eliminar archivos llamados kinsing en /tmp. Esta era una forma de evitar estos mineros para que pudieran ocurrir cosas más interesantes.
Como analista SOC, analice los artefactos y responda las preguntas.
1.- Archivo => sdb.vhd Hay un script que se ejecuta cada minuto para realizar la limpieza. ¿Cuál es el nombre del archivo?
Utilizaré la herramienta AccessData FTK Imager, en el directorio root se encuentra el archivo que se ejecuta cada minuto para realizar limpieza.
2.- Archivo => sdb.vhd El script en la pregunta número 1 finaliza los procesos asociados con dos archivos de malware de minería de Bitcoin. ¿Cuál es el nombre del primer archivo de malware?
Para responder está pregunta debemos analizar el script que se ejecuta en la pregunta número 1.
3.- Archivo => sdb.vhd El script de la pregunta número 1 cambia los permisos de algunos archivos. ¿Cuál es el nuevo permiso?
Se puede obtener está pregunta analizando el script que se ejecuta en la pregunta número 1.
4.- Archivo => sdb.vhd ¿Cuál es el sha256 del archivo del agente de botnet?
Habitualmente los malware se guardan en directorio temporales donde se ejecutan procesos temporales.
Una vez identificado el archivo hacemos exportamos el archivo a nuestro directorio de evidencias y calculamos su hash sha256.
Como tenemos el hash del archivo no consultare en VirusTotal, para obtener más información.
6.- Archivo => sdb.vhd ¿Qué dirección IP coincide con la marca de tiempo de creación del archivo del agente de botnet en la pregunta número 4?
Analizando la imagen note que el servidor apache2 estaba instalado en la máquina.
Ahora exportaré los archivos de log del servidor Apache2 ubicados en /var/log/apache2.
7.- Archivo => sdb.vhd ¿Qué URL utilizó el atacante para descargar el agente de botnet?
Nuevamente debemos analizar los archivos logs de Apache2 les adelanto que en el archivo access.log no hay información útil para responder está pregunta. El archivo que nos interesa es error.log. Por lo tanto, exportaré el archivo error.log y lo analizaré.
8.- Archivo => sdb.vhd ¿Cuál es el nombre del archivo que el atacante descargó para ejecutar el script malicioso y posteriormente eliminarse?
Para responder está pregunta seguiremos analizando el archivo error.log. Se sabe que Linux tiene dos herramientas que se encuentran instalada por defecto en Linux estás herramientas son curl y wget que probablemente sea utilizada por el atacante para descargar archivos.
9.- Archivo => sdb.vhd El atacante descargo scripts .sh. ¿Cómo se llaman estos archivos?
Nuevamente la respuesta a esta pregunta se encuentra en el archivo error.log. Sabemos que los archivos tienen la extensión .sh, por lo tanto, realizaré una búsqueda aplicando este filtro.
10.- Archivo => UAC Se estaban ejecutando dos procesos sospechosos desde un directorio eliminado. ¿Cuáles son sus PID?
UAC es una herramienta Live-Response son un conjunto de script para respuesta de Incidente para Linux entre otros sistemas operativos. El los artefactos que se nos entrega para el análisis hay un directorio llamado uac-ApacheWebServer-linux-20211208202503 dentro de este directorio hay un directorio llamado live_response y dentro de este hay un directorio llamado process dentro de este hay un archivo llamado lsof_-nPl.txt.
Con respecto al nombre del archivo este hace referencia al comando Linux ejecutada por la herramienta UAC. El comando lsof -nPl El comando lsof permite listar archivos abiertos, eliminados, socket de red, y dispositivos. Otra cosa importante de mencionar es cuando se elimina un archivo en Linux, su contenido no se elimina inmediatamente si está en uso; el archivo sigue existiendo hasta que el último proceso que lo está ocupando cierre el archivo.
Volviendo al análisis del archivo lsof_-nPl.txt filtraré por delete para encontrar archivos eliminados.
11.- Archivo => UAC ¿Cuál es la línea de comando sospechosa asociada con el segundo PID en la pregunta número 10?
Está pregunta se puede responder observando muy bien los datos optinos en la pregunta anterior.
12.- Archivo => UAC UAC recopiló algunos datos del segundo proceso en la pregunta número 10. ¿Cuál es la dirección IP remota y el puerto remoto que se usaron en el ataque?
Para encontrar la respuesta a esta pregunta me demoré un par de hora y tuve que leer la documentación de la herramienta UAC. El archivo que nos interesa analizar es environ.txt que se encuentra en el siguiente directorio uac\uac-ApacheWebServer-linux-20211208202503\live_response\process\proc\20645.
13.- Archivo => UAC ¿Qué usuario fue responsable de ejecutar el comando en la pregunta número 11?
Esta información la podemos obtener del archivo ps_-deaf.txt que se encuentra en el siguiente directorio uac\uac-ApacheWebServer-linux-20211208202503\live_response\process\.
14.- Archivo => UAC Se estaban ejecutando dos procesos de shell sospechosos desde la carpeta temporal. ¿Cuáles son sus PID?
Sabemos que los procesos se están ejecutando en la carpeta /tmp, por lo tanto, analizaré el archivo lsof_-nPl nuevamente y filtrare la búsqueda por "/tmp".
15.- Archivo => ubuntu.20211208.mem ¿Cuál es la dirección MAC de la memoria capturada?
Para responder está pregunta utilizaré la información del directorio UAC el archivo lswh.txt
que se encuentra en el siguiente directorio uac-ApacheWebServer-linux-20211208202503\live_response\hardware.
16.- Archivo => ubuntu.20211208.mem del historial de Bash. El atacante descargó un script sh. ¿Cómo se llama el archivo?
Con la herramienta autopsy cargaré la imagen de disco duro proporcionado como artefacto de análisis sdb.vhd y exportaré el archivo .bash_history del usuario azureuser.
Happy Hack!!!
Comentarios
Publicar un comentario