Ви зіштовхнетеся з намаганням експлуатації нещодавно виявленої та ще не виправленої уразливості (CVE-2024-XXXX) у критичному програмному компоненті інфраструктури вашої організації. Ця уразливість дозволяє виконання віддаленого коду, що створює значну загрозу в разі успішної експлуатації. О 12:05 PM UTC система виявлення та запобігання вторгненням (IDS та IPS) генерує сповіщення про атаку на один з ваших вебсерверів. Ваше завдання — проаналізувати надані артефакти, підтвердити спробу експлуатації та відповісти на надані питання.
Перш за все, перенесіть файли до нашого пісочничного середовища та досліджуйте типи файлів, які ми можемо проаналізувати.
- Apache24: Широко використовуване програмне забезпечення для вебсерверів, часто включене в сучасні налаштування для обробки HTTP-запитів. "Apache24" зазвичай відноситься до версії 2.4, відомої своєю продуктивністю, гнучкістю та підтримкою модулів.
- PHP: Мова сценаріїв на стороні сервера, розроблена для веб-розробки, що дозволяє генерувати динамічний контент та взаємодіяти з базами даних. Часто використовується з Apache для створення динамічних вебсайтів.
- Prefetch Logs: Файли системи Windows (
*.pf), які реєструють метадані виконання додатків для оптимізації запуску програм та допомагають у судово-розслідувальному аналізі нещодавно виконаних додатків.
Яка версія PHP працювала на сервері під час інциденту?
Щоб визначити версію PHP, перевірте файл snapshot.txt, який знаходиться у папці PHP.
snapshot.txt у журналах PHP — це файл, який надає інформацію про збірку PHP, включаючи версію, дату збірки та налаштування конфігурації. Він часто використовується для перевірки встановленої версії PHP та деталей середовища.
Коли PHP налаштовано на роботу як CGI, яка директива в httpd.conf вказує на сценарії, що обробляють запити для PHP-файлів?
Коли PHP налаштовано на роботу як CGI, директива Action у файлі httpd.conf вказує на сценарій-обробник для PHP-файлів.
Яка IP-адреса зловмисника, який намагався експлуатувати наш сервер?
Давайте проаналізуємо журнали доступу вебсервера Apache, щоб зібрати більше інформації. Ці журнали фіксують запити клієнтів, включаючи IP-адреси, запитувані URL, HTTP-методи та коди відповіді, що дає уявлення про активність сервера.
Оскільки ми знаємо CVE, давайте дослідимо його, щоб зрозуміти методи експлуатації та використання шкідливих програм.
CVE-2024–4577 Експлойти на волі через добу після розкриття
Зловмисник націлився на конкретну сторінку на сервері з шкідливими корисними навантаженнями. Яку саме сторінку зловмисник націлив із шкідливими корисними навантаженнями?
Яка версія Apache працює на сервері?
Журнали помилок: Якщо Apache налаштовано на запис інформації про версію, це може бути зафіксовано у журналах помилок.
Зловмиснику вдалося виконати команди на сервері.
Ви стикнетеся з спробою експлуатації нещодавно виявленої та ще не виправленої уразливості (CVE-2024-XXXX) у критичному програмному компоненті інфраструктури вашої організації. Ця уразливість дозволяє виконання віддаленого коду, що створює значну загрозу в разі успішної експлуатації. О 12:05 PM UTC система виявлення та запобігання вторгненням (IDS та IPS) генерує сповіщення про атаку на один з ваших вебсерверів. Ваше завдання — проаналізувати надані артефакти, підтвердити спробу експлуатації та відповісти на надані питання.
Перш за все, перенесіть файли до нашого пісочничного середовища та досліджуйте типи файлів, які ми можемо проаналізувати.
- Apache24: Широко використовуване програмне забезпечення для вебсерверів, часто включене в сучасні налаштування для обробки HTTP-запитів. "Apache24" зазвичай відноситься до версії 2.4, відомої своєю продуктивністю, гнучкістю та підтримкою модулів.
- PHP: Мова сценаріїв на стороні сервера, розроблена для веб-розробки, що дозволяє генерувати динамічний контент та взаємодіяти з базами даних. Часто використовується з Apache для створення динамічних вебсайтів.
- Prefetch Logs: Файли системи Windows (
*.pf), які реєструють метадані виконання додатків для оптимізації запуску програм та допомагають у судово-розслідувальному аналізі нещодавно виконаних додатків.
Яка версія PHP працювала на сервері під час інциденту?
Щоб визначити версію PHP, перевірте файл snapshot.txt, що знаходиться у папці PHP.
snapshot.txt у журналах PHP — це файл, що надає інформацію про збірку PHP, включаючи версію, дату збірки та налаштування конфігурації. Він часто використовується для перевірки встановленої версії PHP та деталей середовища.
Коли PHP налаштовано на роботу як CGI, яка директива в httpd.conf вказує на сценарії, що обробляють запити для PHP-файлів?
Коли PHP налаштовано на роботу як CGI, директива Action у файлі httpd.conf вказує на сценарій-обробник для PHP-файлів.
Яка IP-адреса зловмисника, який намагався експлуатувати наш сервер?
Давайте проаналізуємо журнали доступу вебсервера Apache, щоб зібрати більше інформації. Ці журнали фіксують запити клієнтів, включаючи IP-адреси, запитувані URL, HTTP-методи та коди відповіді, що дає уявлення про активність сервера.
Оскільки ми знаємо CVE, давайте дослідимо його, щоб зрозуміти методи експлуатації та використання шкідливих програм.
CVE-2024–4577 Експлойти на волі через добу після розкриття
Зловмисник націлився на конкретну сторінку на сервері з шкідливими корисними навантаженнями. Яку саме сторінку зловмисник націлив із шкідливими корисними навантаженнями?
Яка версія Apache працює на сервері?
Журнали помилок: Якщо Apache налаштовано на запис інформації про версію, це може бути зафіксовано у журналах помилок.
Зловмиснику вдалося виконати команди на сервері.
Що стало першим процесом, ініційованим командами зловмисника під час його успішної спроби?_
Корелюйте часові мітки журналів доступу Apache з часами журналів prefetch, щоб ідентифікувати виконані команди.
Спочатку перелічіть журнали prefetch за останньою часовою міткою за допомогою наступної команди:
ls -lt --time-style=full-iso
Мені не вдалося корелювати журнали доступу та журнали prefetch за датою, але я знайшов whoami.exe, стандартний інструмент, що використовується зловмисниками для перевірки доступного користувача. Це часто є кроком після отримання доступу.
До того, як зловмисника виявили і заблокували, він виконав іншу команду, запустивши новий процес. Який процес був запущений цією командою?
Я також помітив, що calc.exe намагався маскуватися під calculator.exe, щоб уникнути виявлення, що є підозрілим і вказує на потенційну техніку підтримки стійкості.
Який номер CVE був використаний зловмисником у його атаці?
CVE-2024–4577
Який процес був ініційований першою командою атакуючого під час успішної спроби?
Корелюйте часи з логів доступу Apache з часами в логу prefetch, щоб ідентифікувати виконані команди.
Спочатку перерахуйте логи prefetch за останнім часом за допомогою такої команди:
ls -lt --time-style=full-iso
Я не зміг корелювати логи доступу та логи prefetch за датою, але знайшов whoami.exe, типову утиліту, яку використовують зловмисники для перевірки доступного користувача. Це часто є кроком після здобуття доступу.
До того, як атакуючого виявили і заблокували, він виконав ще одну команду, яка запустила новий процес. Який процес був запущений цією командою?
Я також помітив, що calc.exe намагався імітувати calculator.exe, щоб уникнути виявлення, що є підозрілим і може вказувати на техніку забезпечення сталості.
Який CVE номер експлойту, який використав атакуючий?
CVE-2024–4577
Перекладено з: LetsDefend: PHP-CGI (CVE-2024–4577)