Tantangan CyberDefenders webstrike lab - Pada tantangan kali ini, kita akan mengumpulkan informasi mengenai insiden yang telah terjadi, mengidentifikasi penyebaran shell dan eksfiltrasi data. Tantangan dalam web ini kita akan berfokus pada file .pcap file tersebut adalah file log dari aktivitas server.
Sebelum memulai, pastikan anda telah menjalankan dan buka lab machine,untuk mengakses file .pcap anda pergi ke folder lokasi file tersebut dan klik kanan untuk membukanya secara otomatis anda akan membuka program Wireshark.
Tanpa panjang lebar lagi, kita akan langsung mengerjakan task Webstrike cyberdefender.
Task Q1
Identifying the geographical origin of the attack facilitates the implementation of geo-blocking measures and the analysis of threat intelligence. From which city did the attack originate?
💡 Note: The lab machines do not have internet access. To look up the IP address and complete this step, use an IP geolocation service on your local computer outside the lab environment.
Dalam tantangan task pertama, kita disuruh untuk mencari tahu lokasi kota penyerang, anda bisa amati log Wireshark mulai dari no 1 (pertama) anda akan melihat Source dan destination semua log.
Kalau kita bahas logika sistem, client akan meminta terlebih dahulu sebelum server merespon dan mengirimkan data ke client. disini saya langsung berfikir bahwa client dengan source ip 117.11.88.124 sudah dipastikan adalah attacker yang menyamar. Untuk mencari tahu lokasi kota dari Ip anda bisa menggunakan Ip lookup tools online yang ada di google.
Task Q2
Knowing the attacker's User-Agent assists in creating robust filtering rules. What's the attacker's Full User-Agent?
Lanjut ke task berikutnya, Dalam task ini kita disuruh mencari tahu User-Agent dari Attacker, Kalau kita ingat-ingat lagi. Webstrike lab adalah Mengidentifikasi serangan yang terjadi pada server web, Maka sudah dipastikan bahwa Attacker akan menyerang website.
Tentu HTTP adalah target yang ia cari, kalian tinggal cari HTTPheader request pertama dengan Info respons Get / HTTP/1.1 dan klik untuk membuka informasi lengkap requestnya. kalian akan mendapatkan Informasi Mengenai user-agent pada baris terakhir. Bisa dilihat pada gambar.
Task Q3
We need to determine if any vulnerabilities were exploited. What is the name of the malicious web shell that was successfully uploaded?
Berikutnya adalah mencari tahu nama file shell yang berhasil diupload oleh attacker, Sebelumnya saya akan menjelaskan sedikit method HTTP request pada web.
1. Get berfungsi mengambil data
2. Post berfungsi mengirim data
3. Put berfungsi memperbarui data
4. Delete berfungsi menghapus data
kalau kita sudah tahu beberapa method HTTP header, maka sudah dipastikan kalian akan mudah menyelesaikan task ini. Seperti halnya untuk mencari File yang terupload kalian bisa mencari info request yang ada tulisan Post (Mengirim data). dan pada request content-type: menandakan bahwa request tersebut bersifat file, Lihat gambar.
Task Q4
Identifying the directory where uploaded files are stored is crucial for locating the vulnerable page and removing any malicious files. Which directory is used by the website to store the uploaded files?
Selanjutnya, mengidentifikasi lokasi folder dari file yang telah terupload, pada task ini kita akan memakai fitur pencarian. Sebelumnya kita sudah mengetahui nama file yang terupload.
http.request.uri contains image.jpg.php
Dan boom anda akan melihat satu request dengan header Get ke nama File image.jpg.php, perhatikan struktur direktori dari website dan itulah jawabanya.
Task 5
Which port, opened on the attacker's machine, was targeted by the malicious web shell for establishing unauthorized outbound communication?
Selanjutnya kita akan mencari tahu port yang digunakan oleh penyerang untuk membangun komunikasi keluar yang tidak sah, saya menggunakan fitur pencarian tcp.port == 8080 || udp.port ==8080 dan menemukan log bahwa attacker menjalankan command whoami pada port tersebut dan ini sudah jadi bukti. port 8080 digunakan sebagai media oleh mereka untuk menjalankan shell.
Task 6
Recognizing the significance of compromised data helps prioritize incident response actions. Which file was the attacker attempting to exfiltrate?
Pada latihan terakhir, kita akan mencari tahu file yang pernah dicoba dieksfiltrasi oleh attacker, Kita akan fokus pada request yang mengarah ke file shell image.jpg.php. dan saya mendapatkan reqest Get yang mengarah ke /etc/passwd. Ini bukti bahwa attacker mencoba dumping file passwd.
Penutup
Sebagai penutup latihan identifikasi log wireshark ini, mengajarkan saya bahwa pentingnya untuk selalu menerapkan dan mengimplementasikan website yang aman dan membangun sistem validasi tipe file, rename file otomatis dan memisahkan lokasi upload ke folder yang Non-Executable.