[letsdefend.io] SOC168 — Whoami Command Detected in Request Body

Pada tantangan kali ini, kita disuruh untuk menginvestigasi alert pada SIEM yaitu terdapat keyword “whoami” pada server request body. Command “whoami” biasa digunakan untuk mengetes eksploitasi kerentanan command injection.

Command injection adalah serangan yang mana tujuannya adalah mengeksekusi perintah secara sewenang-wenang pada sistem operasi melalui aplikasi yang rentan.

Pertama-tama, silahkan tekan tombol take ownership pada alert tersebut di tab “main channel”. Maka akan masuk ke tab “investigation channel”. Kemudian klik tombol “create case” (tombol panah >>). Setelah tombol “create case” ditekan, maka alert tersebut akan masuk ke tab “case management” lalu klik “Start playbook!” Untuk menyelesaikan alert ini.

Dari alert tersebut, kita mendapatkan data sebagai berikut:

- Source IP: 61.177.172.87 (IP attacker)
- Destination IP: 172.16.17.16 (IP web server kita)

Klik tombol “Start playbook!” Pada tab “Case management”, Kemudian jawablah pertanyaannya.

Is traffic malicious?

Lakukanlah pencarian source IP tersebut di virustotal.com, maka hasilnya seperti berikut:

Answer: malicious

What is the attack type?

Answer: command injection

Check if It is a planned attack?

Answer: not planned

What is the direction of the traffic?

Traffic ini berasal dari internet ke web server kita.

Answer: internet -> company network

Was the attack successful?

Kita dapat mengecek log pada tab “Log management” kemudian lakukan pencarian dengan filter:

- Column: source_address
- Operator: equals
- Value: 61.177.172.87

Maka terdapat 5 request berikut:

Request 1:
- POST parameter: ?c=whoami
- status code: 200
- response size: 912

Request 2:
- POST parameter: ?c=ls
- status code: 200
- response size: 1021

Request 3:
- POST parameter: ?c=uname
- status code: 200
- response size: 910

Request 4:
- POST parameter: ?c=cat /etc/passwd
- status code: 200
- response size: 1321

Request 5:
- POST parameter: ?c=cat /etc/shadow
- status code: 200
- response size: 1501

Kelima request tersebut mengandung command Linux dengan status code 200 dan response size yang berubah-ubah, mengindikasikan bahwa serangan tersebut berhasil.

Answer: yes

Containment
Klik tab “Endpoint security” kemudian cari IP address web server kita (172.16.17.16). Klik tombol “containment”.

Do you need tier 2 escalation?

Karena serangannya berhasil, maka kita perlu melakukan eskalasi ke tier 2.

Answer: yes

Add artifacts

Setelah playbook selesai, maka akan diarahkan ke tab “Investigation channel” lagi. Kemudian klik tombol centang pada alert tersebut.

Kita berhasil menyelesaikan alert tersebut dengan benar.