Contexto

En esta máquina había una aplicación web vulnerable. Dicha aplicación se empleaba de forma remota para hacer un escaneo de la red interna. En uno de los formularios había un campo de texto en el cual se suponía que se debía de introducir una dirección IP y esto haría ping al equipo en dicha dirección. Sin embargo, el campo no estaba bien protegido, y eso posibilitaba que también se introdujeran comandos no deseados.

El 22 de mayo de 2022 sobre las 17:05 (UTC+2), ante la sospecha de que se ha producido un incidente de seguridad en el que se exfiltraron datos sensibles del servidor, el equipo de respuesta ante incidentes manda al técnico Vicente a investigar. Vicente realiza una captura de la memoria RAM, apaga el equipo, realiza una clonación del disco, y se pone analizar dichas evidencias.

Objetivos:

  1. Encontrar la zona horaria en la que está configurado el servidor.
  2. Encontrar la aplicación web vulnerable.
  3. Encontrar la IP, el cliente y el SO del equipo empleado por el atacante.
  4. Encontrar qué datos ha exfiltrado el atacante.
  5. Razonar por qué el fichero original no aparece accedido durante el momento del incidente.
  6. Razonar por qué no podemos saber los comandos introducidos por el atacante y cómo se podría arreglar esto en ocasiones posteriores.

Ficheros:

  1. Imagen de disco
  2. Captura de memoria RAM
  3. Perfil de memoria
  4. Fichero de hashes

Informes:

(Enlaces sólo para personal autorizado)

  1. Informe del forense