Empecé a investigar ese ataque de fuzzing, exporte el .log a mi escritorio y lo abrí con Sublime Text 2 un software que utilizaba para programar pequeños scripts en Python. Era mejor verlo en un buen editor de texto, que en el escueto visualizador de Autopsy.
Al ver que este ataque fue algo fútil debido a la poca lógica que había al usar nombres de personajes de Dragon Ball y nombres de productos tecnológicos decidí pasar todo el log rápido hasta que algo me llamara la atención. ¡Allí estaba!.
El atacante logro autenticarse y llegar a descargarse el programa.zip. ¿Pero como ha llegado a bajarse el archivo si se necesitaba derechos de administrador? ...
Ademas, por la hora que se autentico el atacante debería haber gente en la empresa. Algún empleado tubo que notar algo raro en sus servidores. Volví a mirar la carpeta www a ver si me había dejado algo. Revisé sobretodo la parte de login del volcado del servidor y abrir el login php. Me quede estupefacto.
Una empresa que gestiona vulnerabilidades de aereoplanos experimentales de los estados unidos utilizando la misma contraseña de administración para todo...
Dejando a parte el mazazo que me dio ver esa terrible falta de responsabilizad con la seguridad de la empresa. Ahora ya tenia todo lo que me hacia falta. Podía relacionar toda la información con algún trabajador de la empresa el cual se las hubiera apañado para encontrar un hueco para eso, aunque de ese ya se encargaría Isaac y tenia que guardar todos los reportes y la documentación en una Memoria USB.
No hay comentarios:
Publicar un comentario