Contexto

Se descubrió que la máquina 10.10.4.64 estaba comprometida como resultado de la explotación de la aplicación Apache Solr 8.11.0 que ejecuta Java 1.8.0_181, vulnerable a log4shell (CVE-2021-44288). La investigación que detectó la intrusión constató que un adversario obtuvo un terminal como usuario solr.

Objetivos:

Investigar para determinar las acciones del adversario sobre el equipo afectado (persistencia, subida de privilegios, acciones sobre el objetivo,…) y escribir un informe sobre el incidente. El informe debe tener 5 secciones:

  1. Resumen ejecutivo: utilizando un lenguaje sencillo, explica claramente lo que sucedió (cuándo, quién y qué) y qué consecuencias puede tener para la organización.
  2. Resumen técnico.
  3. Detalles de la(s) víctima(s) (dirección IP, dirección MAC, ...).
  4. IoC (Indicators Of Compromise): dir. IP, dominios y URLs asociadas con la infección en formato 'defang', hashes SHA256 y MD5 en caso de ficheros maliciosos.
  5. MITRE: Tácticas y técnicas utilizadas por el oponente.

Ficheros:

  1. Archivo de captura de paquetes log4j.pcapng
  2. Fichero auth.log del equipo víctima
  3. Fichero de hashes

Informes:

(Enlaces sólo para personal autorizado)

  1. Informe del forense (en gallego)