OPTinselTrace24-2: Cookie Consumption
OPTinselTrace24-2: Cookie Consumption
Embedded Files
Santa's North Pole Operations telah mengimplementasikan layanan "Cookie Consumption Scheduler" (CCS), sebuah layanan penting yang berjalan pada kluster Kubernetes. Layanan ini dirancang untuk memastikan konsumsi kue dan susu Santa tetap seimbang selama perjalanan pengiriman globalnya, membantu mengoptimalkan tingkat energi dan kesehatan Santa. Keandalan CCS menjadi vital dalam mendukung operasi Santa yang membutuhkan presisi tinggi selama malam Natal.
Category: DFIR || Level: EASY
Q1: How many replicas are configured for the flask-app deployment?
*Disini saya menemukannya pada berkas "deployment.log" pada direktori "\default\describes\" dengan menggunakan fitur search.
A: 3
Q2: What is the NodePort through which the flask-app is exposed?
*NodePort ditemukan pada berkas "services.log" di direktori yang sama dengan sebelumnya.
A: 30000/TCP
Q3: What time (UTC) did the attacker first initiate fuzzing on the /system/ endpoint?
A: 2024-11-08 22:02:48
*pertama kali saya cari secara manual disini: "system_logs\node_logs\flask-app-77fbdcfcff-2tqgw_default_flask-app-0c6f23d9953921a31ec11074089eb67299221b05410a12185af82d8272bf1af5.log"
kemudian memastikan menggunakan findstr, dan menemukan file log lainnya pada lokasi "default\flask-app-77fbdcfcff-2tqgw\flask-app.log".
sekarang saya temukan 2 file yang mengkonfirmasi temuan pertama dan saya gunakan waktu tersebut.
Q4: Which endpoint did the attacker discover through fuzzing and subsequently exploit?
A: /system/execute
*Menemukan pada file log dan melakukan pencarian menggunakan fitur notepad untuk mencari respon code 200
Terlihat bahwa penyerang mencoba untuk menginstal curl, sebuah program command-line yang digunakan untuk mentransfer data menggunakan berbagai protokol (termasuk HTTP). Awalnya, percobaan eksekusi perintah curl gagal karena program tersebut tidak ditemukan di sistem (sh: 1: curl: not found). Penyerang kemudian menggunakan manajer paket (apt) untuk menginstal curl dan dependensinya, yang berhasil dilakukan, seperti yang ditunjukkan oleh instalasi dan konfigurasi paket curl di akhir log. Dengan curl terinstal, penyerang dapat menggunakan alat ini untuk mengakses halaman HTTP, mungkin untuk menjalankan eksploitasi lebih lanjut atau mengunduh payload tambahan.
Q5: Which program did the attacker attempt to install to access their HTTP pages?
A: curl
Q6: What is the IP address of the attacker?
A: 10.129.231.112
*Terdapat pada file dump di direktori "default\processes"
Q7: What is the name of the pod that was compromised and used by the attacker as the initial foothold?
A: flask-app-77fbdcfcff-2tqgw
*Berkas log yang sama (perhatikan judul tab notepad di samping)
Q8: What is the name of the malicious pod created by the attacker?
A: evil
*Disini mengkonfirmasi bahwa "evil" adalah nama user.
Q9: What is the absolute path of the backdoor file left behind by the attacker?
A: /opt/backdoor.sh
*Saat mencari-mencari tentang "evil", saya menemukan ini pada file cron.
Analisis Lanjutan
Analisis Lanjutan
Akun mencurigakan bernama evil dibuat oleh pengguna root dan ditambahkan ke grup sudo, memberikan hak akses administratif, sementara crontab untuk root dimodifikasi untuk menjalankan skrip berbahaya /opt/backdoor.sh setiap 5 menit, menunjukkan adanya upaya pemasangan backdoor. Aktivitas tambahan mencakup penggunaan sudo untuk memeriksa dan memindahkan log ke direktori /tmp/k3s-investigation/, mengindikasikan upaya penghapusan jejak.
Penutup
Penutup
Pada skenario Sherlock, serangan terhadap layanan "Cookie Consumption Scheduler" (CCS) yang berjalan pada kluster Kubernetes mengungkapkan serangkaian aktivitas berbahaya yang dimulai dengan penemuan endpoint sensitif /system/ melalui fuzzing, dimulai pada 2024-11-08 pukul 22:02:48 UTC. Penyerang kemudian mengeksploitasi endpoint /system/execute untuk mencoba menginstal curl guna mengakses halaman HTTP mereka. Serangan ini diluncurkan dari alamat IP 10.129.231.112. Pod awal yang dikompromikan adalah flask-app-77fbdcfcff-2tqgw, yang kemudian digunakan untuk menciptakan pod jahat bernama evil. Penyerang juga meninggalkan backdoor berupa skrip yang dapat diakses pada path absolut /opt/backdoor.sh, dengan entri cron untuk menjalankannya setiap lima menit. Aktivitas ini menyoroti kerentanan sistem serta potensi eksploitasi terhadap layanan CCS yang penting bagi operasi Santa.
Google Sites
Report abuse