Abbiamo trattato tre delle tecniche di persistenza Linux più comuni come scrivere comandi nel file .bashrc, attività pianificate in crontab e aggiungere un utente nel file /etc/passwd. Questo faceva parte ProvaHackMe Tardigrade.
Un server è stato compromesso e il team di sicurezza ha deciso di isolare la macchina finché non sarà stata completamente ripulita. I primi controlli da parte del team di risposta agli incidenti hanno rivelato che esistono cinque diverse backdoor. È tuo compito trovarli e risolverli prima di dare il segnale per riportare il server in produzione.
Un elenco di parole sporco è essenzialmente una documentazione grezza dell'indagine dal punto di vista dell'investigatore. Potrebbe contenere tutto ciò che potrebbe aiutare a portare avanti le indagini, dal vero CIOs a note casuali. Mantenere un elenco di parole sporco assicura all'investigatore che uno specifico IOC è già stato registrato, aiutando a mantenere l'indagine sulla buona strada ed evitando di rimanere bloccato in un ciclo chiuso di piste usate.
Aiuta anche l'investigatore a ricordare la mentalità che aveva durante il corso dell'indagine. All'importanza di prendere nota della propria mentalità durante i diversi punti di un'indagine viene solitamente data meno importanza a favore della concentrazione sugli indicatori atomici più interessanti; tuttavia, la registrazione fornisce ulteriore contesto sul motivo per cui un bit specifico viene registrato in primo luogo. È così che si decidono i punti cardine e si creano e si perseguono ulteriori piste.
I vantaggi di una lista di parole sporca non finiscono qui. Un modo rapido per documentare formalmente i risultati al termine dell'indagine è ripulirli. Si consiglia di inserire ogni tipo di dettaglio che possa essere utile nel corso delle indagini. Quindi, alla fine, sarebbe facile rimuovere tutti i dettagli non necessari e le false piste, arricchire le CIO reali e stabilire punti di enfasi. Il flag per questa attività è: THM{d1rty_w0rdl1st}
Risposte in camera
Qual è il file più interessante che hai trovato nella directory home di Giorgio?
In ogni indagine, è importante tenere un elenco di parole sporco per tenere traccia di tutti i risultati, non importa quanto piccoli. È anche un modo per evitare di tornare sui propri passi e ricominciare da capo. Pertanto, ora è il momento giusto per crearne uno e inserire la risposta precedente come voce in modo da poterci tornare più tardi.
Un altro file che può essere trovato nella directory home di ogni utente è il file .bashrc. Puoi controllare se riesci a trovare qualcosa di interessante nel .bashrc di Giorgio?
Sembra che abbiamo trattato le consuete nozioni sulla directory home di Giorgio, quindi è ora di controllare le attività pianificate di sua proprietà.
Hai trovato qualcosa di interessante sulle attività pianificate?
Questa sezione è una discussione bonus sull'importanza di un elenco di parole sporco. Accetta il punto extra e buona caccia!
Cos'è la bandiera?
Pochi istanti dopo aver effettuato l'accesso all'account root, trovi un messaggio di errore nel tuo terminale.
Cosa dice?
Dopo essere andati avanti con il messaggio di errore, nel terminale viene visualizzato un comando sospetto come parte del messaggio di errore.
Quale comando è stato visualizzato?
Potresti chiederti: “come è successo? Non ho nemmeno fatto niente? Mi sono appena registrato come root ed è successo."
Potete scoprire come è stato implementato il comando sospetto?
C'è un altro meccanismo di persistenza nel sistema.
Un buon modo per analizzare sistematicamente il sistema è cercare “soliti” e “insoliti”. Ad esempio, puoi verificare la presenza di file e directory comunemente utilizzati in modo improprio o insoliti.
Questo specifico meccanismo di persistenza è direttamente collegato a qualcosa (o qualcuno?) già presente in fresco Linux si installa e può essere abusato e/o manipolato per soddisfare gli obiettivi di un avversario. Qual è il suo nome?
Qual è l'ultimo meccanismo di persistenza?
Infine, poiché hai già trovato il meccanismo di persistenza finale, è utile andare fino alla fine.
L’avversario ha lasciato da qualche parte una pepita d’oro di “consiglio”.
Cos'è la pepita?
Videoprocedura dettagliata
