As a leading Managed Security Services Provider (MSSP), we oversee the cybersecurity of our client, Huge Logistics, a global leader in the logistics sector. Today, we received a GuardDuty alert indicating a potential SSH brute force attack targeting one of their primary EC2 instances. Coincidentally, our monitoring systems flagged unusually high CPU utilization on the same instance. Given the potential criticality, we need your skills to investigate these anomalies, ensuring the digital integrity of Huge Logistics remains uncompromised.
题目给的信息
IAM 用户: detective-user 密码:1nv3stiG4t3-Sh3rl0ck!
还有个 Download resources,下载一下,里面是 auth.log
真是场景
Rapid7 2022 年一个研究表明绝大多数的SSH/RDP密码爆破攻击都在众所周知的 rockyou.txt 字典中
AWS的安全监控付费模式还挺有意思的,是基于用户主动分析的时候付费,确保用户是真实有用了才收费,而不是付费了才开通或做年度订阅之类的。
通过提供的 IAM 用户登录(账户ID是登录地址的前面数字部分 794929857501)
点开 GuardDuty,主要关注爆破相关的,被爆破了几十次,爆破的资源ID为 i-0f9368c3dc7714c42 ,是一台 EC2 主机
这主机有公网IP 13.57.2.249,怪不得。然后攻击者的IP是 44.219.62.158
其实点
Investigate with Detective 也有,而且汇总的很详细
点开 GuardDuty finding 的链接,会显示的更直观些
点右侧 Resource ID 的链接会来到影响资源相关的详情页
通过本机的 whois 命令去查,会发现攻击的机器也是 AWS 的 EC2
到 summary 这,时间选到 2023.9.3(因为我打的时候时候离靶场出的时候太远了,按理正常应急慢慢往前翻就好,我这得翻到天荒地老)
可以发现一个 contractor-veeam 账户有大量 API 调用失败记录,可以暂认为该用户已经被攻击者利用了,攻击路径通过 SSH 爆破登到 EC2 实例中,然后枚举当前可用权限这样
点进去该 AWS 账户,筛选一下时间为 30天,切换到 New behavior,发现有两处用户使用IP范围,正常使用一般一定时间内是一个
点击两个 IP 范围,发现左侧调用 IP 13.57.2.249 很单一,且失败率异常高
噢,其实这个 IP 就是我们刚刚看到 EC2 实例的公网 IP
接下来下载 auth.log,在题目一开始提供了 Download resources,打开分析一下, 前面全是从 IP 44.219.62.158 来的登录失败,然后到 98.159.226.88 就登录成功了
Accepted password
搜了下登录失败的有
2556次
登录成功的 IP 有三个,一开始的 44.219.62.158 到 98.159.226.88 和 98.159.226.95
现在 whoami 命令查这两个 IP 不是 WriteUp 里的 EXPRESSVPN 了,可能重新分配了,不过问题不大,当是 WriteUp 里的,也就是后面登录的 IP 其实是攻击者爆破成功后通过 VPN 登录的
之后就没有环境,只能看 WriteUp 了,在用户根目录发现个 
用来枚举权限的,查看
bf-aws-permissions.sh ,是个开源的脚本 bf-aws-permissions
Github
bf-aws-permissions
Owner
carlospolopUpdated
Sep 2, 2024.bash_history 文件可以看到还去了其他目录,并查看了 s3 桶
不过
backup-to-s3.sh 并没有密钥,而是已经写好在默认配置文件里了
自己电脑配一下,该 AKSK 就是属于已经被攻击者利用的
contractor-veeam 用户然后在上上图的 s3 桶里就能拿到 flag 了
这个题整体就是利用云自身的安全监控功能进行应急溯源的案例