Paweł Goleń, blog

Dość ciekawa lektura: Dissecting the Tactics & Techniques of an Advanced Adversary (oraz RSA Incident Response Emerging Threat Profile: Shell_Crew).

Po pierwsze warto przeczytać rozdział “Intrusion Details”, bo jest to... piorunujące:

• Nieaktualne oprogramowanie – CVE-2010-2861 (APSB10-18) wykorzystany w 2013 roku(!);
• Hasło przechowywane w sposób pozwalający na atak z wykorzystaniem Rainbow Table (brak salt);
• Prawdopodobnie wykorzystane (relatywnie) słabe hasło – w końcu znalazło się w tablicy.

Dalsza część tego rozdziału (wrzucanie shelli) już nie jest taka ciekawa, choć można zastanowić się, dlaczego była możliwość zapisu plików (inaczej – czy musiała być), a także dlaczego integralność plików (i pojawianie się nowych) nie była monitorowana.

W dalszej części podobały mi się dwa podrozdziały rozdziału “Entrenchment Techniques”, konkretnie:

• Registering DLLs with Internet Information Services (IIS);
• Modifying the 'System.Web.dll' file.

Ten patent z modyfikacją System.Web.dll podobał mi się szczególnie :)

Oryginał tego wpisu dostępny jest pod adresem Uczyć się na cudzych błędach

Autor: Paweł Goleń