Dość ciekawa lektura: Dissecting the Tactics & Techniques of an Advanced Adversary (oraz RSA Incident Response Emerging Threat Profile: Shell_Crew).
Po pierwsze warto przeczytać rozdział "Intrusion Details", bo jest to... piorunujące:
- Nieaktualne oprogramowanie - CVE-2010-2861 (APSB10-18) wykorzystany w 2013 roku(!);
- Hasło przechowywane w sposób pozwalający na atak z wykorzystaniem Rainbow Table (brak salt);
- Prawdopodobnie wykorzystane (relatywnie) słabe hasło - w końcu znalazło się w tablicy.
Dalsza część tego rozdziału (wrzucanie shelli) już nie jest taka ciekawa, choć można zastanowić się, dlaczego była możliwość zapisu plików (inaczej - czy musiała być), a także dlaczego integralność plików (i pojawianie się nowych) nie była monitorowana.
W dalszej części podobały mi się dwa podrozdziały rozdziału "Entrenchment Techniques", konkretnie:
- Registering DLLs with Internet Information Services (IIS);
- Modifying the 'System.Web.dll' file.
Ten patent z modyfikacją System.Web.dll podobał mi się szczególnie :)
