honeynet challenge 7
TRANSCRIPT
Honeynet Challenge 7
Introducción
En esta ocasión analizaremos varias imágenes que nos ayudaran para un servidor que recibió un ataque externo, las
deberemos analizar cuidadosamente para resolver una serie de preguntas y así poder llegar a saber cuál fue el ataque,
que robaron y si esto fue logrado.
Analizaremos desde diferentes frentes en este challenge para responder las respuestas desde dos caminos diferentes, con
las imágenes sda1 que es el disco duro y memdump que es la memoria.
Desarrollo
Primero montaremos la imagen sda1, que en este caso es el disco duro para poder ser analizada.
Ahora pasaremos a resolver las preguntas.
1 ¿Qué tipo de sistema se ejecuta en el servidor objetivo?
Al analizar la imagen victoria.v8.sda1.img nos encontramos con bastante información sobre el sistema.
Esta información fue obtenida con el comando vi dmesg.
2. ¿Características del Servidor Objetivo?
Si seguimos viendo el dmesg nos encontraremos con bastantes características del servidor, como memoria ram, memoria,
puertos usb, etc.
3. ¿Qué procesos se ejecutan en el servidor objetivo?
Con el siguiente comando obtuvimos la lista de procesos encontrados en la imagen victoria-v8.memdump.img.
4. ¿Qué servicio y que cuenta asociada activa la alerta?
El servicio atacado fue exim4
Aquí analizaremos la memoria y en las otras imagines analizamos el disco duro.
Si analizamos las 3 imágenes podemos ver 3 correos diferentes que activaron la alerta y fueron rechazados.
0wned.org
H0n3yn3t-pr0j3ct.com
Abcde.com
Aquí se intentaba dar de alta un nuevo usuario.
Aquí descargar el archivo rk.tar
Aquí descargar el archivo c.pl.
5. ¿Qué fallas o vulnerabilidades se explotaron?
El atacante uso las vulnerabilidades de escala de vulnerabilidades y l otra fue un buffer overflow, mejor explicado en la
siguiente imagen, como parte de la investigación.
Estos fueron los comandos lanzados para la descarga de archivos del servidor.
6. ¿Los ataques tuvieron éxito?
Tuvieron éxito en abrir los puertos 4444 y 8888 como veremos a continuación.
Aquí lo analizamos desde memoria y en la siguiente desde disco duro.
Fracasaron en intentar dar de alta al usuario ulysses.
Desde H0n3yn3t-pr0j3ct.com sí pudieron descargar el archivo rk.tar y desde abcde.com pudieron descargar el c.pl, que es
un código en perl.
Aquí podemos ver mejor que fueron rechazados.
7. ¿Qué obtuvo el atacante a través de los hacks ?
Obtuvieron la conexión a dos puertos, el 4444 y el 8888, escuchaban desde 4l puerto 4444 y descargaban desde el 8888,
con una conexión nc como podemos ver en la imagen.
Al igual descargaron dos archivos.
8. ¿El atacante descarga archivos? ¿Cuáles? Ofrece un rápido análisis de los archivos.
Si, lograron descargar dos archivos.
El archivo c.pl es un código en perl.
Al analizarlo un poco, podemos ver que hace la conexión con un puerto.
Al descomprimir y analizar tk.tar nos encontramos con esto.
Si abrimos la carpeta rk vemos esto.
Al abrir install.sh vemos esto.
Al buscar más información sobre esto, se nos dice que es un rootkit.
Si analizamos mejor la imagen pasada, vemos que vars.sh abre el puerto 44965, he instala en la dirección
/usr/include/sslv3.
9. ¿Qué se puede decir sobre el atacante? (Motivación, habilidades, etc.)
AL dejar tantas huellas y no lograr su cometido, después de varios intentos, suponemos que el atacante es inexperto en
lo que hizo, no cubrió nada de lo que realizo.
10. ¿Cree usted que estos ataques fueron automatizados? ¿Por qué?
No, al analizar de nuevo la siguiente imagen sabremos por qué.
Aquí podemos ver los muchos intentos de dar de alta al usuario ulysses, si observamos bien las horas en que fue intentado,
tienen lapsos de tiempo, que en un ataque automatizado no tendría.
11. ¿Cómo se podrían haber evitado los ataques?
Con un mejor firewall para evitar la conexión a los puertos y manipulación de estos, como abrirlos y descargar archivos.
Conclusiones
Al principio el challenge resulto un poco confuso, porque no sabíamos dónde buscar, ni que buscar, tuvimos que apoyarnos
en una guía que nos encaminara, ya después de esto, fuimos entendiendo mejor que es lo que hacíamos y lo que veíamos,
aun así mucho del código o evidencia que veíamos no lo comprendimos muy bien, ya que no tenemos un amplio
conocimiento en esos campos, esto se refleja en algunas respuestas a las preguntas realizadas, algunas fueron contestadas
algo básico, debido a nuestro conocimiento, al agregar más información solo hubiera delatado más nuestras faltas de
conocimiento.
Nos gustó este challenge, fue entretenido y nos gustó ver como desde dos frentes podemos buscar por la misma, o similar
información, ya sea en el disco duro o la memoria que se nos proporcionó para analizar.
Como último solo nos queda estudiar mejor el caso para llegar a una total comprensión.