Contexto

Durante una auditoría hemos averiguado que la línea de comandos Bash de una de nuestras máquinas tiene una vulnerabilidad conocida como ShellShock (CVE-2014-6271 y CVE-2014-6278). Empleando esta vulnerabilidad, sobre las 16:15 un atacante fue capaz de tomar el control del sistema operativo. El equipo de respuesta a incidentes mandó de inmediato a la forense Lidia a averiguar el procedimiento seguido por el perpetrador.

Objetivos:

  1. Obtener la zona horaria en la que está corriendo el sistema.
  2. Averiguar la dirección IP del equipo atacante.
  3. Averiguar las credenciales con las que ha logrado entrar.
  4. Obtener un listado de acciones realizadas por el atacante una vez comprometido nuestro servidor.
  5. Teniendo en cuenta que los usuarios son vagos a la hora de crear sus contrasñeas, y que eso no va a cambiar, discutir qué medidas de seguridad se pueden tomar en el equipo comprometido para que este ataque no vuelva a tener éxito.

Ficheros:

  1. Imagen de disco
  2. Captura de memoria RAM durante el ataque
  3. Captura de memoria RAM tras el ataque
  4. Perfil de memoria
  5. Fichero de hashes

Informes:

(Enlaces sólo para personal autorizado)

  1. Informe del forense