Contexto

Se ha detectado una anomalía en un servidor SMB de nuestra organización. Inmediatamente, el equipo de respuesa ante incidentes ha enviado a Izan a responder ante el mismo.

Objetivos:

  1. Averiguar qué programas de descargas estaba en marcha cuando se tomó la imagen de memoria.
  2. Obtener la dirección IP de la máquina.
  3. Averiguar la dirección IP del atacante que está en la misma red.
  4. Averiguar a quién pertenece la IP que no está en la misma red.
  5. Obtener la zona horaria del sistema.
  6. Analizar los timestamps de /etc/passwd y /etc/shadow.
  7. Averiguar si el Apache tiene algún backdoor.
  8. Averiguar si alguna máquina se ha conectado al servicio de smb.
  9. Comprobar si hay algún archivo en /var/www/uploads/ que pueda haber ayudado al atacante a escalar privilegios.
  10. Obtener los intentos de login del atacante.

Ficheros:

  1. Imagen de disco
  2. Captura de memoria RAM
  3. Log de la captura de la memoria RAM
  4. Perfil de memoria
  5. Fichero de hashes

Informes:

(Enlaces sólo para personal autorizado)

  1. Informe del forense