Upload File

honeynet challenge 7

10
Honeynet Challenge 7 Introducción En esta ocasión analizaremos varias imágenes que nos ayudaran para un servidor que recibió un ataque externo, las deberemos analizar cuidadosamente para resolver una serie de preguntas y así poder llegar a saber cuál fue el ataque, que robaron y si esto fue logrado. Analizaremos desde diferentes frentes en este challenge para responder las respuestas desde dos caminos diferentes, con las imágenes sda1 que es el disco duro y memdump que es la memoria. Desarrollo Primero montaremos la imagen sda1, que en este caso es el disco duro para poder ser analizada. Ahora pasaremos a resolver las preguntas. 1 ¿Qué tipo de sistema se ejecuta en el servidor objetivo? Al analizar la imagen victoria.v8.sda1.img nos encontramos con bastante información sobre el sistema. Esta información fue obtenida con el comando vi dmesg.

Upload: jorge-martinez

Post on 09-Jul-2016

201 views

Category:

Documents


26 download

Report

TRANSCRIPT

Page 1: Honeynet Challenge 7

Honeynet Challenge 7

Introducción

En esta ocasión analizaremos varias imágenes que nos ayudaran para un servidor que recibió un ataque externo, las

deberemos analizar cuidadosamente para resolver una serie de preguntas y así poder llegar a saber cuál fue el ataque,

que robaron y si esto fue logrado.

Analizaremos desde diferentes frentes en este challenge para responder las respuestas desde dos caminos diferentes, con

las imágenes sda1 que es el disco duro y memdump que es la memoria.

Desarrollo

Primero montaremos la imagen sda1, que en este caso es el disco duro para poder ser analizada.

Ahora pasaremos a resolver las preguntas.

1 ¿Qué tipo de sistema se ejecuta en el servidor objetivo?

Al analizar la imagen victoria.v8.sda1.img nos encontramos con bastante información sobre el sistema.

Esta información fue obtenida con el comando vi dmesg.

Page 2: Honeynet Challenge 7

2. ¿Características del Servidor Objetivo?

Si seguimos viendo el dmesg nos encontraremos con bastantes características del servidor, como memoria ram, memoria,

puertos usb, etc.

Page 3: Honeynet Challenge 7

3. ¿Qué procesos se ejecutan en el servidor objetivo?

Con el siguiente comando obtuvimos la lista de procesos encontrados en la imagen victoria-v8.memdump.img.

4. ¿Qué servicio y que cuenta asociada activa la alerta?

El servicio atacado fue exim4

Aquí analizaremos la memoria y en las otras imagines analizamos el disco duro.

Page 4: Honeynet Challenge 7

Si analizamos las 3 imágenes podemos ver 3 correos diferentes que activaron la alerta y fueron rechazados.

0wned.org

H0n3yn3t-pr0j3ct.com

Abcde.com

Aquí se intentaba dar de alta un nuevo usuario.

Aquí descargar el archivo rk.tar

Aquí descargar el archivo c.pl.

Page 5: Honeynet Challenge 7

5. ¿Qué fallas o vulnerabilidades se explotaron?

El atacante uso las vulnerabilidades de escala de vulnerabilidades y l otra fue un buffer overflow, mejor explicado en la

siguiente imagen, como parte de la investigación.

Estos fueron los comandos lanzados para la descarga de archivos del servidor.

6. ¿Los ataques tuvieron éxito?

Tuvieron éxito en abrir los puertos 4444 y 8888 como veremos a continuación.

Aquí lo analizamos desde memoria y en la siguiente desde disco duro.

Fracasaron en intentar dar de alta al usuario ulysses.

Page 6: Honeynet Challenge 7

Desde H0n3yn3t-pr0j3ct.com sí pudieron descargar el archivo rk.tar y desde abcde.com pudieron descargar el c.pl, que es

un código en perl.

Aquí podemos ver mejor que fueron rechazados.

7. ¿Qué obtuvo el atacante a través de los hacks ?

Obtuvieron la conexión a dos puertos, el 4444 y el 8888, escuchaban desde 4l puerto 4444 y descargaban desde el 8888,

con una conexión nc como podemos ver en la imagen.

Al igual descargaron dos archivos.

8. ¿El atacante descarga archivos? ¿Cuáles? Ofrece un rápido análisis de los archivos.

Si, lograron descargar dos archivos.

Page 7: Honeynet Challenge 7

El archivo c.pl es un código en perl.

Al analizarlo un poco, podemos ver que hace la conexión con un puerto.

Al descomprimir y analizar tk.tar nos encontramos con esto.

Page 8: Honeynet Challenge 7

Si abrimos la carpeta rk vemos esto.

Al abrir install.sh vemos esto.

Al buscar más información sobre esto, se nos dice que es un rootkit.

Si analizamos mejor la imagen pasada, vemos que vars.sh abre el puerto 44965, he instala en la dirección

/usr/include/sslv3.

Page 9: Honeynet Challenge 7

9. ¿Qué se puede decir sobre el atacante? (Motivación, habilidades, etc.)

AL dejar tantas huellas y no lograr su cometido, después de varios intentos, suponemos que el atacante es inexperto en

lo que hizo, no cubrió nada de lo que realizo.

10. ¿Cree usted que estos ataques fueron automatizados? ¿Por qué?

No, al analizar de nuevo la siguiente imagen sabremos por qué.

Aquí podemos ver los muchos intentos de dar de alta al usuario ulysses, si observamos bien las horas en que fue intentado,

tienen lapsos de tiempo, que en un ataque automatizado no tendría.

11. ¿Cómo se podrían haber evitado los ataques?

Con un mejor firewall para evitar la conexión a los puertos y manipulación de estos, como abrirlos y descargar archivos.

Page 10: Honeynet Challenge 7

Conclusiones

Al principio el challenge resulto un poco confuso, porque no sabíamos dónde buscar, ni que buscar, tuvimos que apoyarnos

en una guía que nos encaminara, ya después de esto, fuimos entendiendo mejor que es lo que hacíamos y lo que veíamos,

aun así mucho del código o evidencia que veíamos no lo comprendimos muy bien, ya que no tenemos un amplio

conocimiento en esos campos, esto se refleja en algunas respuestas a las preguntas realizadas, algunas fueron contestadas

algo básico, debido a nuestro conocimiento, al agregar más información solo hubiera delatado más nuestras faltas de

conocimiento.

Nos gustó este challenge, fue entretenido y nos gustó ver como desde dos frentes podemos buscar por la misma, o similar

información, ya sea en el disco duro o la memoria que se nos proporcionó para analizar.

Como último solo nos queda estudiar mejor el caso para llegar a una total comprensión.


social challenge design thinking

Cartell challenge 13_14 general

Emotional Driving Challenge | 1 · 2016. 12. 12. · Emotional Driving Challenge | 7 Realizar una jornada de Seguridad Vial, en el que todos los participantes pueden experimentar

Leermiddelen challenge presentatie

Startup challenge

Ejercicios Espirituales Challenge ago21

Dossier challenge-2012-pliegos

MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS

Challenge Abril - Junio 2015

Bid challenge

THE CHALLENGE

161013 presentatie democratic challenge

Semantic Web Challenge

Entrepreneur challenge Colima 2014

G4 Challenge - AutoVerde 4x4

Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010

Honeypots - CERT...•Lance Spitzner introdujo el término honeynet Honeynets •Una honeynet está formada por uno o más honeypots desplegados bajo un esquema de control y análisis

MINI CHALLENGE Magazine

Madrid challenge g34

Pyramid jewels challenge

Cisco Spain Challenge

Tri challenge dossier

Premios BIG CHALLENGE

Challenge photoshop

Santa Maria Mobile Challenge

Presentacion rainforest challenge

II Reto de Análisis Forense Hispano - rediris.es · 13/10/05 Tecnologías de la Información - UAM 2 Antecedentes 2001 - Honeynet (Forensic Challenge). 2003 - I Reto Forense Hispano

App Challenge infojobs

Gran Jotiti Challenge

Sports Challenge 70

7. resultados challenge vii valida nacional 2015 ubate (1)

Belcorp Challenge

Vi-Presentation Espanol Challenge

DIRT Challenge: Itinerario

025-Smart Challenge University.pptx