Contexto

Un sistema Linux de nuestro CPD se ha visto comprometido por al menos una vulnerabilidad el 10 de junio de 2021. No sabemos hasta que punto el atacante ha logrado obtener privilegios ni que acciones ha realizado una vez en el sistema. Se te envía como parte del personal DFIR de la organización.

Objetivos:

  1. Determinar cuáles son los usuarios "humanos" del sistema, y cuáles de ellos tienen privilegios de administrador.
  2. Averiguar cuál fue el último usuario en loguear y en qué franja horaria estuvo conectado.
  3. Averiguar quién mandó el último correo electrónico al usuario achen. ¿En qué día y hora (incluyendo zona horaria)? ¿Sobre qué trataba?
  4. Siguiendo los comandos lanzados por dstevens, ¿qué cuenta de usuario modificó? ¿qué hizo en dicha cuenta?
  5. Se ha accedido remotamente a la aplicación web del correo ¿Desde qué IP? ¿Con qué navegador?
  6. El atacante ha realizado un path traversal para acceder a ciertos ficheros. ¿Cuándo ha sido? ¿A qué ficheros ha accedido?
  7. Un poco antes, el mismo atacante empleó una herramienta para obtener cierta información. ¿De qué herramienta se trata? Un poco después empleó otra. ¿De qué herramienta se trata?
  8. Viendo las últimas peticiones de ese mismo fichero de log, ¿qué información pudo haber obtenido el atacante empleando la segunda herramienta del punto anterior?

Ficheros:

  1. Imagen de disco
  2. Fichero de hashes

Informes:

(Enlaces sólo para personal autorizado)

  1. Informe del forense (en gallego)