Nous avons abordé trois des techniques de persistance Linux les plus courantes, telles que l'écriture de commandes dans le fichier .bashrc, les tâches planifiées dans crontab et l'ajout d'un utilisateur dans le fichier /etc/passwd. Cela faisait partie de EssayezHackMe Tardigrade.
Un serveur a été compromis et l'équipe de sécurité a décidé d'isoler la machine jusqu'à ce qu'elle soit soigneusement nettoyée. Les premières vérifications effectuées par l'équipe de réponse aux incidents ont révélé l'existence de cinq portes dérobées différentes. C'est votre travail de les trouver et d'y remédier avant de donner le signal de remettre le serveur en production.
Une liste de mots sales est essentiellement une documentation brute de l'enquête du point de vue de l'enquêteur. Il peut contenir tout ce qui pourrait aider à faire avancer l'enquête, depuis le CIOs à des notes aléatoires. Conserver une liste de mots sales garantit à l'enquêteur qu'un IOC spécifique a déjà été enregistré, aidant ainsi à maintenir l'enquête sur la bonne voie et évitant de se retrouver coincé dans une boucle fermée de pistes utilisées.
Cela aide également l’enquêteur à se souvenir de l’état d’esprit qu’il avait au cours de l’enquête. L'importance de prendre note de son état d'esprit à différents moments d'une enquête est généralement accordée moins d'importance au profit de la concentration sur les indicateurs atomiques les plus intéressants ; cependant, son enregistrement fournit un contexte supplémentaire sur la raison pour laquelle un bit spécifique est enregistré en premier lieu. C’est ainsi que les points pivots sont décidés et que d’autres pistes naissent et sont poursuivies.
Les avantages d’une liste de mots sales ne s’arrêtent pas là. Un moyen rapide de documenter formellement les conclusions à la fin de l’enquête consiste à les nettoyer. Il est recommandé d'apporter toutes sortes de détails susceptibles d'aider au cours de l'enquête. Ainsi, au final, il serait facile de supprimer tous les détails inutiles et les fausses pistes, d’enrichir les véritables CIO et d’établir des points d’importance. L'indicateur pour cette tâche est : THM{d1rty_w0rdl1st}
Réponses de la salle
Quel est le fichier le plus intéressant que vous ayez trouvé dans le répertoire personnel de Giorgio ?
Dans chaque enquête, il est important de conserver une liste de mots sales pour garder une trace de toutes vos découvertes, aussi petites soient-elles. C'est aussi une manière d'éviter de tourner en rond et de repartir de zéro. En tant que tel, c'est le bon moment pour en créer un et mettre la réponse précédente en entrée afin que nous puissions y revenir plus tard.
Un autre fichier que l'on peut trouver dans le répertoire personnel de chaque utilisateur est le fichier .bashrc. Pouvez-vous vérifier si vous pouvez trouver quelque chose d'intéressant dans le .bashrc de Giorgio ?
Il semble que nous ayons couvert les bases habituelles dans le répertoire personnel de Giorgio, il est donc temps de vérifier les tâches planifiées qui lui appartiennent.
Avez-vous trouvé quelque chose d'intéressant à propos des tâches planifiées ?
Cette section est une discussion bonus sur l'importance d'une liste de mots sales. Acceptez le point supplémentaire et bonne chasse !
Qu'est-ce que le drapeau ?
Quelques instants après vous être connecté au compte root, vous trouvez un message d'erreur dans votre terminal.
Ça dit quoi?
Après avoir avancé avec le message d'erreur, une commande suspecte apparaît dans le terminal dans le cadre du message d'erreur.
Quelle commande a été affichée ?
Vous vous demandez peut-être : « Comment est-ce arrivé ? Je n'ai même rien fait ? Je viens de me connecter en tant que root et c'est arrivé.
Pouvez-vous découvrir comment la commande suspecte a été implémentée ?
Il existe un autre mécanisme de persistance dans le système.
Un bon moyen d’analyser systématiquement le système est de rechercher les « habituels » et les « inhabituels ». Par exemple, vous pouvez rechercher les fichiers et répertoires fréquemment utilisés de manière abusive ou inhabituels.
Ce mécanisme de persistance spécifique est directement lié à quelque chose (ou quelqu'un ?) déjà présent dans Fresh Linux s'installe et peut être abusé et/ou manipulé pour atteindre les objectifs d'un adversaire. Quel est son nom?
Quel est le dernier mécanisme de persistance ?
Enfin, comme vous avez déjà trouvé le mécanisme de persistance final, il est utile d'aller jusqu'au bout.
L’adversaire a laissé quelque part une pépite d’or de « conseils ».
Quelle est la pépite ?
Vidéo pas à pas
