Уроки форензики. Разбираемся с Credential Stuffing и расследуем атаку на Linux

На­ша цель — рас­сле­дова­ние инци­ден­та в рам­ках лабора­тор­ной работы Meerkat из нового раз­дела Hack The Box под наз­вани­ем Sherlocks. Он пред­назна­чен для обу­чения и тре­ниров­ки ребят из blue team, то есть коман­ды защит­ников.

О Sherlocks

Sherlocks — это прак­тичес­кие лабора­тор­ные работы по кибер­безопас­ности, в которых смо­дели­рова­ны реаль­ные инци­ден­ты. Раз­дел пред­лага­ет про­водить рас­сле­дова­ния на осно­ве пре­дос­тавлен­ного сце­нария кибера­таки и улик. Цель — узнать, как про­исхо­дила ата­ка, и рас­крыть все воз­можные под­робнос­ти.

Это поз­воля­ет раз­вить навыки в областях циф­ровой форен­зики и реаги­рова­ния на инци­ден­ты (DFIR), охо­те за угро­зами (Threat Hunting и Threat Intelligence) и ана­лизе мал­вари.

В ходе решения лабора­тор­ных работ учас­тни­ку пред­лага­ют отве­чать на воп­росы, и отве­ты в совокуп­ности будут давать пол­ное пред­став­ление о про­изо­шед­шем инци­ден­те.

За­дания совер­шенно бес­плат­ны, одна­ко некото­рые из них пос­тепен­но ста­новят­ся дос­тупны­ми толь­ко с под­писка­ми VIP и VIP+.

Meerkat

Пер­вое и дос­таточ­но прос­тое задание — лабора­тор­ная работа с наз­вани­ем Meerkat.

Сце­нарий: Forela — быс­тро рас­тущий стар­тап, который исполь­зует плат­форму управле­ния биз­несом. К сожале­нию, докумен­тация у нее скуд­ная, а адми­нис­тра­торы стар­тапа не очень хорошо осве­дом­лены о пра­вилах безопас­ности. Мы игра­ем роль пред­ста­вите­ля отде­ла безопас­ности. Наша цель — по дан­ным в виде фай­лов PCAP и экспор­тирован­ным жур­налам под­твер­дить факт ком­про­мета­ции.

Ска­чива­ем архив с необ­ходимы­ми арте­фак­тами и начина­ем рас­сле­дова­ние. Внут­ри — файл сетево­го тра­фика .pcap и файл .json с событи­ями безопас­ности. Нашим основным инс­тру­мен­том будет Wireshark.

Определение основных IP-адресов

Пер­вый воп­рос:

Мы счи­таем, что наш сер­вер плат­формы управле­ния биз­несом был ском­про­мети­рован. Можете ли вы наз­вать запущен­ное при­ложе­ние?

Ком­пания исполь­зует какое‑то решение для управле­ния биз­несом и подоз­рева­ет, что оно и было ском­про­мети­рова­но. Что­бы узнать, какая имен­но плат­форма исполь­зовалась, про­ведем пер­вичный ана­лиз pcap-фай­ла.

Пер­вым делом прос­мотрим конеч­ные точ­ки под­клю­чений по TCP в раз­деле «Ста­тис­тика» и отсорти­руем спи­сок по пакетам.

Вид­но, что IP-адрес 172.31.6.44 получа­ет боль­шую часть про­ходя­щего тра­фика через сле­дующие пор­ты: 37022, 8080, 61254, 61255 и 22.

Пор­ты, зарезер­вирован­ные под опре­делен­ные служ­бы:

• 8080 — HTTP;
• 22 — SSH;
• 37022 — TCP-порт для переда­чи дан­ных.

Ис­ходя из это­го, мож­но пред­положить, что плат­форма управле­ния — это веб‑сер­вер.

Про­верим HTTP-тра­фик с помощью прос­того филь­тра: http.request.

Пер­вое, что мы видим, — это GET-зап­рос к веб‑сер­веру. Если нем­ного погуг­лить, мож­но узнать, что зап­рос GET /bonita HTTP/1.1 свя­зан с ПО Bonitasoft, которое пред­лага­ет решения и плат­формы для управле­ния биз­несом. Дела­ем вывод, что одна из этих прог­рамм и исполь­зует­ся в ком­пании.

Ищем точку входа, время начала атаки и эксплуатации

Вто­рой воп­рос:

Мы полага­ем, что зло­умыш­ленник, воз­можно, исполь­зовал вари­ацию ата­ки методом перебо­ра. Как называ­ется про­веден­ная ата­ка?

От­филь­тру­ем тра­фик, задав филь­тр http.requset. Видим, что у нас под­ряд идет мно­го POST-зап­росов /bonita/loginservice от IP-адре­са 156.146.62.213. Если под­робнее изу­чить каж­дый пакет, то вид­но, что логин и пароль от одно­го к дру­гому меня­ются. Похоже, зло­умыш­ленник исполь­зует ата­ку методом под­бора, то есть брут­форс.