Cubrimos tres de las técnicas de persistencia de Linux más comunes, como escribir comandos en un archivo .bashrc, programar tareas en crontab y agregar un usuario en el archivo /etc/passwd. Esto fue parte de TryHackMe Tardígrado.
Un servidor se vio comprometido y el equipo de seguridad decidió aislar la máquina hasta que se haya limpiado a fondo. Las comprobaciones iniciales realizadas por el equipo de respuesta a incidentes revelaron que existen cinco puertas traseras diferentes. Es su trabajo encontrarlos y remediarlos antes de dar la señal para que el servidor vuelva a la producción.
Una lista de palabras sucias es esencialmente documentación en bruto de la investigación desde la perspectiva del investigador. Puede contener todo lo que ayudaría a hacer avanzar la investigación, desde datos reales COIs a notas aleatorias. Mantener una lista de palabras sucias le asegura al investigador que ya se ha registrado un COI específico, lo que ayuda a mantener la investigación encaminada y evita quedarse atrapado en un circuito cerrado de pistas usadas.
También ayuda al investigador a recordar la mentalidad que tuvo durante el curso de la investigación. A la importancia de tomar nota de la propia mentalidad durante los diferentes puntos de una investigación generalmente se le da menos importancia a favor de centrarse en los indicadores atómicos más interesantes; sin embargo, grabarlo proporciona más contexto sobre por qué se graba un bit específico en primer lugar. Así es como se deciden los puntos de pivote y nacen y se persiguen nuevas pistas.
Las ventajas de una lista de palabras sucias no terminan aquí. Una forma rápida de documentar formalmente los hallazgos al final de la investigación es limpiarlos. Se recomienda incluir todo tipo de detalles que puedan ayudar durante el transcurso de la investigación. Entonces, al final, sería fácil eliminar todos los detalles innecesarios y las pistas falsas, enriquecer las COI reales y establecer puntos de énfasis. La bandera para esta tarea es: THM{d1rty_w0rdl1st}
Respuestas de la habitación
¿Cuál es el archivo más interesante que encontraste en el directorio de inicio de giorgio?
En cada investigación, es importante mantener una lista de palabras sucias para realizar un seguimiento de todos los hallazgos, por pequeños que sean. También es una forma de evitar volver a dar vueltas y empezar de cero. Como tal, ahora es un buen momento para crear una y poner la respuesta anterior como entrada para que podamos volver a ella más tarde.
Otro archivo que se puede encontrar en el directorio de inicio de cada usuario es el archivo .bashrc. ¿Puedes comprobar si puedes encontrar algo interesante en el .bashrc de giorgio?
Parece que hemos cubierto las bases habituales en el directorio de inicio de Giorgio, por lo que es hora de verificar las tareas programadas que posee.
¿Encontraste algo interesante sobre las tareas programadas?
Esta sección es una discusión adicional sobre la importancia de una lista de palabras sucias. ¡Acepta el punto extra y feliz caza!
¿Qué es la bandera?
Unos momentos después de iniciar sesión en la cuenta raíz, encuentra un mensaje de error en su terminal.
¿Qué dice?
Después de seguir adelante con el mensaje de error, aparece un comando sospechoso en la terminal como parte del mensaje de error.
¿Qué comando se mostró?
Quizás te preguntes: “¿Cómo sucedió eso? ¿Ni siquiera hice nada? Acabo de iniciar sesión como root y sucedió”.
¿Puedes descubrir cómo se implementó el comando sospechoso?
Hay un mecanismo de persistencia más en el sistema.
Una buena manera de analizar sistemáticamente el sistema es buscar "habituales" e "inusuales". Por ejemplo, puede buscar archivos y directorios inusuales o que sean objeto de abuso común.
Este mecanismo de persistencia específico está directamente relacionado con algo (¿o alguien?) ya presente en fresco linux se instala y puede ser abusado y/o manipulado para adaptarse a los objetivos de un adversario. ¿Cuál es su nombre?
¿Cuál es el último mecanismo de persistencia?
Finalmente, como ya ha encontrado el mecanismo de persistencia final, es valioso llegar hasta el final.
El adversario dejó una pepita de oro de “consejo” en alguna parte.
¿Cuál es la pepita?
Tutorial en vídeo
