Cyberexam platformunda yer alan MITRE | ATT&CK öğrenme yoluna ait, MITRE: Defense Evasion: T1053.003 lab çözümünden bahsedeceğim.

Not: Lab bağlantı adresi - https://learn.cyberexam.io/challenges/mitre/defense-evasion/mitre-defense-evasion-t1053-003

Konuya Giriş

Tehdit aktörleri, sistemde zararlı kod çalıştırabilmek ve kalıcılık için sistemde zamanlanmış görevler oluşturabilir. Linux sistemde, cron job olarak isimlendirilir. crontab dosyası zamanlanmış görevleri ve hangi aralıklarla çalışacağı zamanı içerir. /var/log/cron ve /var/log/syslog dosyası bu görevlerin kayıtlarını tutmaktadır.

Laboratuvar Çözümü

Tespit makinesine bağlanın. Zamanlanmış görevleri inceleyin. Hangi kullanıcının zamanlanmış görev oluşturmuş?

Kullanıcı özelinde oluşan cron joblar /var/spool/cron/crontabs dizininde yer alır.

crontab -u victim -l komutu ile de victim kullanıcısına ait cron job listeleme yapılabilir.

Zamanlanmış görev ne zaman oluşturulmuş?

/var/spool/cron/crontabs/victim dosyası içerisinde oluşturulma zamanını görüntüleyebiliriz.

Ancak buradaki zaman oluşturulma zamanı olarak sayılmamış. Eğer ilk çalışma zamanı 15:56:01 ise ( /var/log/cron zamanlanmış görev kayıtlarında o şekilde geçiyor), görev her dakika çalışacak şekilde ayarlanmış bu yüzden oluşturulma zamanı 15:55:01 olarak kabul edilmiş olduğunu düşünüyorum.

Zamanlı görev ilk defa ne zaman çalışmış?

Cron job ne zaman çalıştığı /var/log/cron zamanlanmış görev kayıtlarında yer almaktadır.

Zamanlanmış görevin dizini nedir?

Bir önceki sorularda cron job dizinini tespit etmiştik.

Zamanlanmış görevin amacı nedir?

/home/victim/.vscode/settings.json dosyası içerisini inceleyelim.

İçerisindeki bash komutunun ne yaptığını araştırırsak cevabımız reverse shell olacaktır.

Komuta kontrol sunucusuna ait IP adresi ve port numarası nedir?

Bir önceki soruda reverse shell oluşturan komut içerisinde saldırgana ait IP adresi ve port yer almaktadır.

MITRE: Defense Evasion: T1053.003