Wir haben ein Incident-Response-Szenario von HackTheBox mit dem Namen „PersistenceIsFutile“ behandelt, bei dem wir einen infizierten Linux-Rechner untersuchten und alle Anzeichen von Persistenz und Rechteausweitung beseitigen und beseitigen mussten. Wir haben den Bash-Verlauf, Crontab, laufende Prozesse und SUID-Bit-Binärdateien überprüft, um alle Anzeichen einer Kompromittierung zu entfernen, einschließlich Reverse-Shells, Hintertüren und unbekannte Binärdateien. Dies war Teil von HackTheBox PersistenceFutile.

Holen Sie sich Hinweise zum OSCP-Zertifikat

Der komplette Kurs zum Penetrationstest mit BackBox

BESCHREIBUNG DER HERAUSFORDERUNG

Hacker haben es auf einen unserer Produktionsserver geschafft 😅. Wir haben ihn vom Internet isoliert, bis wir die Maschine bereinigen können. Das IR-Team hat acht verschiedene Hintertüren auf dem Server gemeldet, aber nicht gesagt, um welche es sich handelt, und wir können sie nicht erreichen. Wir müssen diesen Server so schnell wie möglich wieder in Betrieb nehmen – wir verlieren mit jeder Sekunde, in der er ausfällt, Geld. Bitte finden Sie die acht Hintertüren (sowohl Fernzugriff als auch Rechteausweitung) und entfernen Sie sie. Wenn Sie fertig sind, führen Sie Folgendes aus: /root/solveme als Wurzel überprüfen. Sie haben SSH-Zugriff und Sudo Rechte an der Box mit den unten angehängten Verbindungsdetails.
Nutzername: Benutzer
Passwort: hackthebox

Video-Highlights

Die Standorte, die wir zum Entfernen von Malware und Persistenz überprüft haben, waren:

  • Bash-Verlauf sowohl für das Benutzer- als auch das Root-Konto: Wir haben die Reverse-Shell und den Listener namens „alertd“ entfernt.
  • Cron-Tabs: Wir haben pyssh und access-up aus cron.daily entfernt und die Cron-Datei unter /var/spool/cron/crontabs/user entfernt.
  • Laufende Prozesse: Wir haben den Konnektivitätsprüfungsprozess abgebrochen und alle zugehörigen Dateien und Binärdateien entfernt.
  • Die Benutzerdatei /etc/passwd: Wir haben die Login-Shell des Benutzers gnats deaktiviert und die Gruppen-ID auf 41 gesetzt.
  • SUID-Bit-Binärdateien: Wir haben 6 Binärdateien entfernt.

Video-Komplettlösung

, , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen