Skip to content

HoneyNet Scan of the Month 15

Tehtävänä oli ratkaista HoneyNet Scan of the month 15.

Tehtävä on osa Haaga-Helian Linux palvelimena -kurssia.

Koneen tiedot

OS: Windows 10, 64-bit

CPU: Intel Core i5 2500K @ 4.40 GHz

RAM: 8,00 Gt

Valmistelut

Tehtävää varten asensin omalle kotikoneelleni Virtualboxin ja sen sisälle asentui Xubuntu 16.04

Ensimmäiseksi hain päivitykset seuraavilla komennoilla:

sudo apt-get update
sudo apt-get upgrade

Tervapallo

Loin tätä tehtävää varten omaan kotihakemistoon uuden kansion, johon latasin levykuvasta tehdyn .tar.gz-tiedoston.

mkdir honey
cd honey
wget old.honeynet.org/scans/scan15/honeynet.tar.gz

Purin “tervapallon” komennolla

tar xf honeynet.tar.gz

Seuraavaksi loin omat kansiot allokoiduille ja poistetuille tiedostoille

mkdir allocated deleted

Sleuthkit ja levykuvan tarkastelu

Asensin levykuvan purkamista varten Sleuthkitin

sudo apt-get install sleuthkit

Tämän jälkeen kykenin purkamaan levykuvassa olevat tiedostot aiemmin luotuihin kansioihin

tsk_recover -a honeypot.hda8.dd allocated/
Files Recovered: 1614

tsk_recover honeypot.hda8.dd deleted/
Files Recovered: 37

Järjestelmästä poistetut tiedostot herättävät ensimmäisenä mielenkiintoni. On loogista olettaa, että järjestelmään murtautunut henkilö haluaa myös pyyhkiä jälkensä.

deleted-kansio pitää sisällään /etc-hakemiston, lk.tgz-tiedoston sekä $Orphanfiles hakemiston. Sleuth-wiki kertoo, että kyseessä on järjestelmästä poistetut tiedostot, joiden metadata on vielä tallella.

Kiinnitin huomioni poistettuun “tervapalloon”.

tar xf lk.tgz

Tämä loi uuden /last-hakemiston jonka sisältä löytyi paljon mielenkiintoista sisältöä

Ubuntu1.png

Aloin käymään läpi silmään pistäviä scriptejä.

cat cleaner

Ubuntu 4.png

Vaikka ohjelman varsinaiset komennot eivät minulle aukeakkaan, siihen on kommentoitu sen käytäntöjä. Tämä ohjelma on ilmeisesti luotu logien poistamista varten.

cat install

Ubuntu2.png

Kuvassa olevassa kommentista ja tiedostonimestä voidaan päätellä, että ohjelma liittyy jollain tasolla rootkitin asennukseen. Scripti sisältää paljon eri tiedostojen poistamista ja kopioimista eri kansioihin.

logclear-scripti piti sisällään vielä logien poistamiseen ja korvaamiseen liittyviä komentoja:

rm -rf tcp.log
touch tcp.log

Loput scripteistä olivat sisällöltään niin epäselkeitä, etten osannut tulkita niitä

Ubuntu3.png

Vastaukset kysymyksiin

1. What files make up the deleted rootkit?

Minun ymmärtääkseni poistetuista tiedostoista löytynyt tar-paketti pitää sisällään rootkitin tiedostot

Ubuntu1.png

Tuo kansio pitää sisällään niin monta epäilyttävää scriptiä kommentteineen, että syyttävä sormeni osoittaa siihen suuntaan.

2. Bonus Question: Was the rootkit ever actually installed on the system? How do you know?

Minun ymmärtääkseni rootkit oli asentunut järjestelmään. Esimerkiksi kansiosta löytynyt install-scripti piti sisällään seuraavan komennon:

rm -rf last lk.tgz computer lk.tar.gz

Ja kas kummaa, poistetuista tiedostoista löytyi mm. lk.tgz, jonka sisällä oli hakemisto /last. Miten muuten nuo tiedostot olisivat poistuneet, ellei rootkit olisi poistanut niitä itse. En usko, että järjestelmän käyttäjä olisi halunnut poistaa ne, mikäli aikomuksena oli tehdä levykuva haavoittuneesta järjestelmästä.

Lähteet:

http://wiki.sleuthkit.org/index.php?title=Orphan_Files
http://terokarvinen.com/2013/forensic-file-recovery-with-linux
http://terokarvinen.com/2016/aikataulu-linux-palvelimena-ict4tn003-22-ja-23-alkusyksy-2016

Published inUncategorized

Be First to Comment

Leave a Reply

Your email address will not be published. Required fields are marked *