writeup Brutus ctf Hackthebox analisa Brute force

 Writeup ctf Brutus dari Hackthebox, dalam artikel kali ini kita akan menjelaskan step-by-step cara menyelesaikan semua task yang ada di ctf hackthebox ini, dalam ctf ini kita akan Meng Analisa log Unix auth.log dan wtmp dari sistem Linux.

Yang akan kita analisa yaitu serangan brute force yang terjadi dalam layanan ssh dimana attacker berhasil masuk dan membuat user baru yang kemudian menjalankan script berbahaya untuk menginstall backdoor.

Berikut saya akan menjelaskan dan menuliskan dengan lengkap apa yang telah saya analisa, sebelum melanjut ke tutorial pastikan kalian sudah men-download file brutus.zip yang ada di lab ya. dan ekstrak file tersebut dengan menggunakan password yang disediakan oleh hackthebox dan kamu akan mendapatkan dua file, log Unix auth.log dan wtmp.

Task 1

Analyze the auth.log. What is the IP address used by the attacker to carry out a brute force attack?

Melakukan analisa auth.log, tugas pertama kita akan melakukan analisa untuk mencari tahu ip yang digunakan oleh attacker saat melakukan brute force, Berikut command untuk melihat isi log dari file aut.log

$ cat auth.log

Setelah anda mengetik command diatas, anda akan melihat semua log yang tercatat dalam siste dan untuk mencari ip attacker yang digunakan saat melakukan brute force, bisa dilihat pada gambar ini.

Pada gambar yang saya block putih, adalah indikasi dari serangan brute force yang dilakukan oleh attacker. karena dalam log attacker mencoba melakukan login user dengan rentang waktu yang tidak wajar dan dengan bukti tersebut, sudah dipastikan bahwa Ip 65.2.161.68 adalah ip attacker yang sedang melakukan Brute force.

Task 2

The brute force attempts were successful and attacker gained access to an account on the server. What is the username of the account?

Tugas berikutnya, kita akan mencari tahu username yang terkena brute force dan berhasil didapatkan oleh attacker. untuk menganalisa lebih lanjut kita akan mencoba dengan command cat + filter, filter yang akan kita gunakan adalah untuk mencari session dari aktifitas log ssh. Commandnya

$ cat auth.log | grep 'session'

 Dalam gambar yang telah saya block, kita bisa melihat username pertama yang berhasil di akses oleh attacker dengan metode brute force.

Task 3

Identify the UTC timestamp when the attacker logged in manually to the server and established a terminal session to carry out their objectives. The login time will be different than the authentication time, and can be found in the wtmp artifact.

Selanjutnya kita akan menganalisa untuk mencari tahu tanggal dan waktu attacker saat login dengan manual ke server dan membuat sesi perintah cmd untuk melancarkan tujuan mereka. Pada tugas ketiga ini, kita akan mencoba menganalisa file kedua yaitu wtmp.

utmpdump wtmp

 

Perhatikan line yang telah saya tandai, sesi tercatat dengan rapi 2024-03-06 06:32:45

Task 4

SSH login sessions are tracked and assigned a session number upon login. What is the session number assigned to the attacker's session for the user account from Question 2?

Melanjut tugas task 2, kali ini kita akan mencari tahu berapa banyak jumlah sesi yang ditetapkan saat login. Btw setiap sesi login itu mempunyai nomor id unik untuk dipantau, Untuk commandnya.

cat auth.log | grep 'exit'

 

Task 5

The attacker added a new user as part of their persistence strategy on the server and gave this new user account higher privileges. What is the name of this account?

Dalam skenario ini, attacker berhasil menambahkan user baru kedalam server dan juga telah memberikan hak istimewa yang lebih tinggi pada username baru. Untuk menyelesaikan task ini kita akan menggunakan command cat dan membuka auth.log.

Dari log yang saya block putih terlihat dengan jelas bahwa akun root melalui ssh berhasil membuat group baru bernama cyberjunkie kemudian attacker membuat user baru dengan home directory dan shell bash. Tak hanya itu, dalam log juga attacker memperbarui informasi user (chfn)

Task 6

What is the MITRE ATT&CK sub-technique ID used for persistence by creating a new account?

Nah tugas ini paling saya sukai, karena dalam task ini kita akan mencari tahu Id Mitre ATT&ACK apa yang telah dilakukan oleh attacker saat menyerang ssh.

Kamu bisa pakai platform ini salah satunya https://attack.mitre.org/matrices/enterprise/ dan search Create account Setelah anda mendapatkan sc, check idnya. Bisa dilihat pada gambar. Untuk Idnya adalah T1136

Baca juga Analisa serangan website dengan wireshark - WebStrike Lab

Task 7

What time did the attacker's first SSH session end according to auth.log?

Tugas kali ini, kita akan kembali melakukan analisa auth.log untuk mencari jam/sesi terakhir attacker pertama melakukan serangan. Kita akan melakukan command cat dan dengan grep exit, berikut command lengkapnya.

cat auth.log | grep 'exit'

Bisa dilihat pada gambar, sesi terakhir tercatat tanggall dan jam 2024-03-06 06:37:24 

Task 8

The attacker logged into their backdoor account and utilized their higher privileges to download a script. What is the full command executed using sudo?

Tugas terakhir, kita akan menggali informasi command yang dijalankan oleh attacker untuk mendownload script shell. masih dalam auth.log kita akan memfilter pencarian dengan commanda

cat auth.log | grep 'curl'

Dan boom, anda langsung mendapatkan pola script dan sumber yang digunakan attacker untuk mendownload script. Lihat gambar.

Penutup

Sebagai penutup artikel cara menyelesaikan Brutus sherlocks ctf hackthebox analisa Brute force ssh, semoga dengan artikel ini teman-teman yang masih bingung dapat menyelesaikannnya dengan mudah.