MITRE: Execution: T1059.004
Command and Scripting Interpreter: Unix Shell
Lab bağlantı adresi: https://learn.cyberexam.io/challenges/mitre/execution/mitre-execution-t1059-004
Görev Tanımı
MITRE Attack T1059.004 tekniği, tehdit aktörlerinin unix shell komutlarını kötü amaçlı kullanmalarını ifade eder. Bu komutlar belirli yetkilerle sistemi her yönüyle yönetebilir. Saldırgan gerçekleştirdiği saldırıda zararlı komutlar çalıştırabilir ve interaktif bir oturuma sahip olabilir. Aynı zamanda sistemde yetki yükseltmek ve kalıcılık için de shell komutları çalıştırılabilir. Sistem denetleme aktif ise audit.log dosyası içerisinde sistemde yapılan çeşitli işlemler ve çalıştırılan komutlar kayıt altına alınır.
Hedef makineye ssh -i admin_key admin@detect komutunu çalıştırarak erişim sağlayalım.
Lab Çözümü
Saldırganın uid değeri nedir?
/var/log/auth.log dosyası içerisinde sistemde gerçekleşen kimlik doğrulama ve oturum açma işlemlerinin kayıtları yer almaktadır.
/var/log/audit/audit.log dosyası içerisinde de verilen denetim kurallarına göre kayıtlar tutulmaktadır. Genellikle çalıştırılan komutlar, dosya dizin işlemleri, sistem çağrıları, kimlik doğrulama gibi logları tutar. Buradan da şüpheli çalıştırılan kodları çalıştırırken hangi kullanıcıda oturum açıldığı bilgisini de auid değerinde belirtilir.
Saldırganın çalışma dizini hangisidir?
/var/log/audit dizini altında yer alan audit.log dosya formatında cwd (current working directory) değeri çalışılan dizini göstermektedir. Saldırgana ait işlemler izlendiği zaman /tmp dizini altında işlemleri yaptığını gözlemleyebiliriz. Log türü CWD (change working directory) bilgisinden öğrenebiliriz.
Çalıştırılan script nedir?
Saldırgan scripti wget komutu ile indirmektedir. Sonrasında dosyaya çalışma izni verip çalıştırmaktadır. /var/log/audit/audit.log içerisinde incelediğimiz zaman tespit edebiliriz.
Scriptin indirildiği IP adresi ve port numarası nedir?
Log içerisinde çalıştırılan komutlar incelenirken wget komutunu görebiliriz. grep aracını kullanarak filtreleme yapıldığında scriptin hangi bağlantıdan indirildiğini bir önceki görselde gözlemleyebiliriz. Kullanıcının IP adresi ve port numarası bağlantıda yer alıyor.
Saldırının başlama zamanı nedir?
Saldırının başlama zamanı scriptin indirildiği zamandır. audit.log dosyasında zaman formatı saniye cinsinde gösterilmektedir. Bu değeri UTC formatına çevirmek için date -d @SECOND_VAL komutunu kullanabiliriz.
