Vous êtes sur la page 1sur 10

Honeynet Challenge 7

Introduccin
En esta ocasin analizaremos varias imgenes que nos ayudaran para un servidor que recibi un ataque externo, las
deberemos analizar cuidadosamente para resolver una serie de preguntas y as poder llegar a saber cul fue el ataque,
que robaron y si esto fue logrado.
Analizaremos desde diferentes frentes en este challenge para responder las respuestas desde dos caminos diferentes, con
las imgenes sda1 que es el disco duro y memdump que es la memoria.

Desarrollo
Primero montaremos la imagen sda1, que en este caso es el disco duro para poder ser analizada.

Ahora pasaremos a resolver las preguntas.


1

Qu tipo de sistema se ejecuta en el servidor objetivo?

Al analizar la imagen victoria.v8.sda1.img nos encontramos con bastante informacin sobre el sistema.

Esta informacin fue obtenida con el comando vi dmesg.

2. Caractersticas del Servidor Objetivo?


Si seguimos viendo el dmesg nos encontraremos con bastantes caractersticas del servidor, como memoria ram, memoria,
puertos usb, etc.

3. Qu procesos se ejecutan en el servidor objetivo?


Con el siguiente comando obtuvimos la lista de procesos encontrados en la imagen victoria-v8.memdump.img.

4. Qu servicio y que cuenta asociada activa la alerta?


El servicio atacado fue exim4
Aqu analizaremos la memoria y en las otras imagines analizamos el disco duro.

Si analizamos las 3 imgenes podemos ver 3 correos diferentes que activaron la alerta y fueron rechazados.
0wned.org
H0n3yn3t-pr0j3ct.com
Abcde.com
Aqu se intentaba dar de alta un nuevo usuario.

Aqu descargar el archivo rk.tar

Aqu descargar el archivo c.pl.

5. Qu fallas o vulnerabilidades se explotaron?


El atacante uso las vulnerabilidades de escala de vulnerabilidades y l otra fue un buffer overflow, mejor explicado en la
siguiente imagen, como parte de la investigacin.

Estos fueron los comandos lanzados para la descarga de archivos del servidor.

6. Los ataques tuvieron xito?


Tuvieron xito en abrir los puertos 4444 y 8888 como veremos a continuacin.
Aqu lo analizamos desde memoria y en la siguiente desde disco duro.

Fracasaron en intentar dar de alta al usuario ulysses.

Desde H0n3yn3t-pr0j3ct.com s pudieron descargar el archivo rk.tar y desde abcde.com pudieron descargar el c.pl, que es
un cdigo en perl.
Aqu podemos ver mejor que fueron rechazados.

7. Qu obtuvo el atacante a travs de los hacks ?


Obtuvieron la conexin a dos puertos, el 4444 y el 8888, escuchaban desde 4l puerto 4444 y descargaban desde el 8888,
con una conexin nc como podemos ver en la imagen.

Al igual descargaron dos archivos.

8. El atacante descarga archivos? Cules? Ofrece un rpido anlisis de los archivos.


Si, lograron descargar dos archivos.

El archivo c.pl es un cdigo en perl.

Al analizarlo un poco, podemos ver que hace la conexin con un puerto.


Al descomprimir y analizar tk.tar nos encontramos con esto.

Si abrimos la carpeta rk vemos esto.

Al abrir install.sh vemos esto.

Al buscar ms informacin sobre esto, se nos dice que es un rootkit.


Si analizamos mejor la imagen pasada, vemos que vars.sh abre el puerto 44965, he instala en la direccin
/usr/include/sslv3.

9. Qu se puede decir sobre el atacante? (Motivacin, habilidades, etc.)


AL dejar tantas huellas y no lograr su cometido, despus de varios intentos, suponemos que el atacante es inexperto en
lo que hizo, no cubri nada de lo que realizo.
10. Cree usted que estos ataques fueron automatizados? Por qu?
No, al analizar de nuevo la siguiente imagen sabremos por qu.

Aqu podemos ver los muchos intentos de dar de alta al usuario ulysses, si observamos bien las horas en que fue intentado,
tienen lapsos de tiempo, que en un ataque automatizado no tendra.
11. Cmo se podran haber evitado los ataques?
Con un mejor firewall para evitar la conexin a los puertos y manipulacin de estos, como abrirlos y descargar archivos.

Conclusiones
Al principio el challenge resulto un poco confuso, porque no sabamos dnde buscar, ni que buscar, tuvimos que apoyarnos
en una gua que nos encaminara, ya despus de esto, fuimos entendiendo mejor que es lo que hacamos y lo que veamos,
aun as mucho del cdigo o evidencia que veamos no lo comprendimos muy bien, ya que no tenemos un amplio
conocimiento en esos campos, esto se refleja en algunas respuestas a las preguntas realizadas, algunas fueron contestadas
algo bsico, debido a nuestro conocimiento, al agregar ms informacin solo hubiera delatado ms nuestras faltas de
conocimiento.
Nos gust este challenge, fue entretenido y nos gust ver como desde dos frentes podemos buscar por la misma, o similar
informacin, ya sea en el disco duro o la memoria que se nos proporcion para analizar.
Como ltimo solo nos queda estudiar mejor el caso para llegar a una total comprensin.