Contexto

El instituto CIFP Ferroliño tenía un viejo servidor con una versión antigua de Drupal. Hasta ahora, no se le daba mucha importancia a su seguridad porque la información que contenía no era muy relevante. Sin embargo, la máquina ha sido atacada recientemente y los atacantes se han llevado algunos ficheros. Es más, parece ser que el atacante ha hecho escalada de privilegios y ha logrado el control total de la misma. Eso podría resultar muy inconveniente, ya que podría ser el punto de entrada al resto de la red interna.

El incidente ha ocurrido 19 de mayo de 2022 en torno a las 9:15 UTC.

Objetivos:

Establecer una línea temporal del incidente. En particular, responder a las siguientes cuestiones:

  1. Obtener la dirección IP y la MAC del equipo atacado.
  2. Obtener la dirección IP y la MAC del equipo atacante.
  3. Averiguar los puertos a los que se ha conectado el atacante.
  4. Obtener los nombres de usuario local y remoto empleados por el atacante para exfiltrar ficheros por SCP.
  5. Averiguar cuál es el fichero que se ha exfiltrado mediante SCP.
  6. Indicar qué usuario local ha empleado el atacante para la conexión por SSH.
  7. Discernir si la escalada de privilegios se ha realizado en local o de forma remota.
  8. Localizar el programa que el atacante ha empleado para realizar su escalada de privilegios, y averiguar el CVE de la vulnerabilidad que explota.
  9. Averiguar el usuario local al que el atacante ha modificado, y cuáles han sido esas modificaciones.
  10. Antes del ataque del 19 de mayo de 2022 hubo otro. Averiguar cuándo ocurrió.
  11. Averiguar qué usuarios accedieron al sistema el día del primer ataque.
  12. Obtener la fecha y hora aproximada de la instalación del sistema.

Ficheros:

  1. Imagen de disco
  2. Captura de memoria RAM
  3. Perfil de memoria
  4. Log de adquisición en vivo de artefactos forenses.
  5. Fichero de hashes

Informes:

(Enlaces sólo para personal autorizado)

  1. Informe del forense