Contexto

Un sistema Linux de nuestro CPD se ha visto comprometido por al menos una vulnerabilidad el 10 de junio de 2021. No sabemos hasta que punto el atacante ha logrado obtener privilegios ni que acciones ha realizado una vez en el sistema. Se te envía como parte del personal DFIR de la organización.

Objetivos:

  1. Determinar la IP del atacante.
  2. Averiguar cuál es el usuario que se conectó por SSH y a qué hora.
  3. Encontrar el servicio sobre el que se realizó un ataque de fuerza bruta y ver a qué hora sucedió.
  4. Revisar si se realizó alguna modificación sobre algún usuario. Averiguar qu´ se le cambió y a qué hora.
  5. Sabemos que también se realizó una taque por path traversal. Averiguar dónde y a qué hora.
  6. Para lograr persistencia, es probable que el atacante haya dejado una WebShell. Averiguar cuál y si se llegó a utilizar.
  7. ¿Qué fichero se compiló para hacer la escalada de privilegios? Qué vulnerabilidad (CVE) utilió?
  8. Averiguar qué vulnerabilidad (CVE) se utilizó como vector principal de entrada a la máquina.

Ficheros:

  1. Imagen de disco
  2. Imagen de memoria
  3. Perfil de memoria de la máquina atacada
  4. Fichero de hashes

Informes:

(Enlaces sólo para personal autorizado)

  1. Informe del forense (en gallego)