Wir haben drei der gängigsten Linux-Persistenztechniken behandelt, wie das Schreiben von Befehlen in .bashrc-Dateien, geplante Aufgaben in crontab und das Hinzufügen eines Benutzers in der Datei /etc/passwd. Dies war Teil von TryHackMe Tardigrade.
Ein Server wurde kompromittiert und das Sicherheitsteam hat beschlossen, die Maschine zu isolieren, bis sie gründlich bereinigt wurde. Erste Überprüfungen durch das Incident Response Team ergaben, dass es fünf verschiedene Hintertüren gibt. Es ist Ihre Aufgabe, diese zu finden und zu beheben, bevor Sie das Signal geben, den Server wieder in Betrieb zu nehmen.
Eine Liste mit Schimpfwörtern ist im Wesentlichen eine Rohdokumentation der Untersuchung aus der Sicht des Ermittlers. Sie kann alles enthalten, was die Untersuchung voranbringen könnte, von tatsächlichen IOCs zu zufälligen Notizen. Das Führen einer Liste mit Schimpfwörtern gibt dem Ermittler die Gewissheit, dass ein bestimmter IOC bereits aufgezeichnet wurde. Dies hilft dabei, die Ermittlungen auf Kurs zu halten und verhindert, dass man in einer geschlossenen Schleife verwendeter Hinweise stecken bleibt.
Es hilft dem Ermittler auch, sich an die Denkweise zu erinnern, die er während der Untersuchung hatte. Die Bedeutung der Aufzeichnung der eigenen Denkweise während verschiedener Punkte einer Untersuchung wird normalerweise weniger wichtig genommen, da man sich auf die spannenderen atomaren Indikatoren konzentriert. Die Aufzeichnung liefert jedoch weiteren Kontext, warum ein bestimmter Teil überhaupt aufgezeichnet wird. Auf diese Weise werden Wendepunkte festgelegt und weitere Hinweise entstehen und verfolgt.
Die Vorteile einer Liste mit schmutzigen Wörtern enden hier nicht. Eine schnelle Möglichkeit, Ergebnisse am Ende der Untersuchung formal zu dokumentieren, besteht darin, sie zu bereinigen. Es wird empfohlen, alle möglichen Details einzutragen, die im Verlauf der Untersuchung hilfreich sein können. So wäre es am Ende einfach, alle unnötigen Details und falschen Hinweise zu entfernen, tatsächliche IOCs anzureichern und Schwerpunkte festzulegen. Das Flag für diese Aufgabe lautet: THM{d1rty_w0rdl1st}
Raumantworten
Welche ist die interessanteste Datei, die Sie in Giorgios Home-Verzeichnis gefunden haben?
Bei jeder Untersuchung ist es wichtig, eine Liste mit Schimpfwörtern zu führen, um alle Ihre Erkenntnisse im Auge zu behalten, egal wie klein sie sind. Auf diese Weise vermeiden Sie auch, dass Sie sich im Kreis drehen und wieder von vorne beginnen. Daher ist jetzt ein guter Zeitpunkt, eine Liste zu erstellen und die vorherige Antwort als Eintrag zu speichern, damit wir später darauf zurückgreifen können.
Eine weitere Datei, die im Home-Verzeichnis jedes Benutzers zu finden ist, ist die .bashrc-Datei. Können Sie nachsehen, ob Sie in Giorgios .bashrc etwas Interessantes finden?
Es scheint, dass wir die üblichen Grundlagen in Giorgios Home-Verzeichnis abgedeckt haben. Es ist also an der Zeit, die geplanten Aufgaben zu überprüfen, für die er verantwortlich ist.
Haben Sie etwas Interessantes über geplante Aufgaben gefunden?
In diesem Abschnitt finden Sie eine Bonusdiskussion über die Bedeutung einer Liste mit Schimpfwörtern. Nehmen Sie den Extrapunkt an und viel Spaß beim Jagen!
Was ist die Flagge?
Wenige Augenblicke nach der Anmeldung beim Root-Konto wird in Ihrem Terminal eine Fehlermeldung angezeigt.
Was sagt es?
Nachdem Sie mit der Fehlermeldung fortgefahren sind, wird im Terminal als Teil der Fehlermeldung ein verdächtiger Befehl angezeigt.
Welcher Befehl wurde angezeigt?
Sie fragen sich vielleicht: „Wie ist das passiert? Ich habe nichts getan? Ich habe mich einfach als Root angemeldet und dann ist es passiert.“
Können Sie herausfinden, wie der verdächtige Befehl implementiert wurde?
Es gibt noch einen weiteren Persistenzmechanismus im System.
Eine gute Möglichkeit, das System systematisch zu analysieren, besteht darin, nach „üblichen“ und „ungewöhnlichen“ Elementen zu suchen. Sie können beispielsweise nach häufig missbrauchten oder ungewöhnlichen Dateien und Verzeichnissen suchen.
Dieser spezielle Persistenzmechanismus ist direkt verbunden mit etwas (oder jemand?) bereits in frisch vorhanden Linux installiert und kann missbraucht und/oder manipuliert werden, um den Zielen eines Gegners zu dienen. Wie heißt es?
Was ist der letzte Persistenzmechanismus?
Da Sie den endgültigen Persistenzmechanismus bereits gefunden haben, ist es sinnvoll, den ganzen Weg bis zum Ende durchzugehen.
Der Gegner hat irgendwo einen goldenen „Ratschlag“ hinterlassen.
Was ist das Nugget?
Video-Komplettlösung
