יום 22 של Advent of Cyber 2024 ב- TryHackMe מביא אתכם למסע חקירה מרתק בעולם הקוברנטיס. במאמר זה נצלול לתוך עקרונות ה-DFIR (חקירות דיגיטליות ותגובה לאירועים) בסביבות אפמרליות, נלמד על קוברנטיס ואיך ניתן לבצע חקירות דיגיטליות בצורה אפקטיבית.
מבוא
ברוכים הבאים ליום ה-22 של Advent of Cyber 2024. במאמר הזה, נצלול לעולם הקוברנטיס ולחקירות דיגיטליות בתגובה לאירועים. קוברנטיס הוא כלי מרכזי בניהול קונטיינרים, ומאפשר לארגונים לפשט את תהליכי הפיתוח והניהול של יישומים.
הסיפור
הסיפור שלנו מתחיל עם דמותו של מאיו מאו, שהצליח לתכנן תכנית מתוחכמת. כשנראה כי הצליח, הוא פונה לבדוק את הרשימה המפורסמת של "טוב ורע". הוא עובר על התנאים שהוקצבו לו ומגלה שהצליח לגשת לרשימה הזו.
סיפורו של מאיו מאו הוא דוגמה לכך כיצד כל פעולה יכולה להוביל להשלכות רבות, במיוחד בעולם הדיגיטלי שבו אנו חיים. זה מדגיש את החשיבות של אבטחת מידע וחקירות דיגיטליות.
התחלה ומטרות הלמידה
מטרות הלמידה שלנו כוללות הבנה מעמיקה של קוברנטיס, מה זה DFIR (חקירות דיגיטליות ותגובה לאירועים) ואת האתגרים הקשורים ל-DFIR בסביבות אפמרליות. נלמד גם כיצד לבצע DFIR בסביבות קוברנטיס באמצעות ניתוח לוגים.
מה זה קוברנטיס?
קוברנטיס הוא מערכת לניהול קונטיינרים שמספקת פתרון לארגונים המעוניינים לנהל את היישומים שלהם בצורה יעילה יותר. במקום לבנות יישומים כמקשה אחת, קוברנטיס מאפשר לארגונים לחלק את היישום למיקרו-שירותים, כל אחד מהם פועל בקונטיינר נפרד.
היתרון של גישה זו הוא שניתן להגדיל או להקטין את המשאבים הדרושים לכל מיקרו-שירות בנפרד, מה שמאפשר גמישות רבה יותר. קוברנטיס דואג לארגון ולניהול של הקונטיינרים הללו, ומסייע להפעילם בצורה אוטומטית.
יסודות ה-DFIR
DFIR, או חקירות דיגיטליות ותגובה לאירועים, הוא תחום קריטי באבטחת מידע. הוא מתייחס לתהליכים המיועדים לזהות, לחקור ולפתור בעיות אבטחה. כאשר מתרחשת תקלה או התקפה, מומחה DFIR יכול להיכנס לפעולה ולבצע חקירה מעמיקה.
מומחים בתחום זה נדרשים לאסוף ראיות, לנתח את המידע ולמצוא את המקור של הבעיה. זהו תהליך המצריך תשומת לב רבה לפרטים וניסיון רב.
DFIR וסביבות אפמרליות
עבודה בסביבות אפמרליות מציבה אתגרים מיוחדים. קונטיינרים רבים פועלים למשך זמן קצר בלבד, ולעיתים קרובות הם נמחקים לפני שניתן לאסוף מהם נתונים. זה יכול להקשות על עבודת החקירה.
כדי להתמודד עם האתגרים הללו, יש צורך בהגברת הנראות של הפעולות בסביבה. אחת הדרכים לעשות זאת היא על ידי הפעלת לוגים של ביקורת בקוברנטיס, אשר מאפשרים לתעד את הבקשות שנעשו למערכת.
באמצעות לוגים אלה, ניתן לחזור על פעולות מסוימות ולזהות מה התרחש, מתי התרחש והאם הייתה פעולה חשודה. זהו כלי חשוב בא arsenal של כל חוקר דיגיטלי.
התקנת קלאסטר
כדי להתחיל את ההתקנה של קלאסטר קוברנטיס, נשתמש בכלי בשם MiniKube, אשר מאפשר לנו להקים סביבה מקומית של קוברנטיס בקלות. תחילה, נפתח את הטרמינל שלנו ונפעיל את הפקודה המתאימה. זה ייקח כשלוש דקות עד שהקלאסטר יתכונן ויתחיל לפעול.
לאחר שההתקנה הושלמה, נוכל לבדוק אם הקלאסטר פעיל על ידי הרצת הפקודה kubectl get pods. פקודה זו תאפשר לנו לראות את כל הפודים הפעילים בקלאסטר.
חיבור לפוד וצפייה ביומנים
בשלב הבא, אם כל הפודים פועלים כראוי, נתחבר לפוד המפיץ את היישום שלנו כדי לבדוק אם נוכל לשחזר יומנים. לשם כך, נשתמש בפקודת kubectl exec כדי לבצע פקודות בתוך הפוד.
נרצה לקבוע את השם של הפוד שאותו נתחבר אליו, לדוגמה, פוד בשם "naughty-or-nice". לאחר מכן, נזין את הפקודה kubectl exec -it naughty-or-nice -- /bin/bash כדי לקבל שורת פקודה אינטראקטיבית בתוך הפוד.
חקירת תמונה שהוטמעה (יומני רישום)
אחרי שהתחברנו לפוד, נוכל לבדוק את יומני הגישה של אפאצ'י. נבצע את הפקודה cat /var/log/apache2/access.log כדי לראות את כל הבקשות שנעשו לאתר.
נראה כי אנחנו מקבלים יומנים מה-28 באוקטובר, שכוללים מספר רב של בקשות GET. זה עשוי להעיד על כך שמישהו בודק את האתר או מחפש מידע רגיש.
חקירת אישורים שהוטמעו
במהלך חקירתנו, נרצה לבדוק גם את האישור שהוטמע על ידי התוקף. זה יכול לכלול פקודות כמו whoami כדי לראות את ההרשאות של התוקף. אם נמצא פקודות חשודות, זה עשוי להצביע על כך שהתוקף הצליח לחדור למערכת.
נמצא יומן שמתעד בקשה ל-shell.php, מה שמעיד על כך שהייתה כאן כנראה פעולה של הזרקת פקודות.
החתיכה הסופית
לאחר שסיימנו לחקור את היומנים ואת הפוד, נוכל להבין את המידע שנאסף. נגלה כי התוקף הצליח לגשת לאישור על ידי חיבור לקלאסטר והשתמש בזכויות גישה כדי לבצע פקודות מסוימות. החקירה מצביעה על בעיה חמורה בניהול ההרשאות בקלאסטר.
כדי למנוע מצבים כאלה בעתיד, יש לוודא שההרשאות ניהוליות מוגבלות למי שצריך אותן בלבד, ולבצע בדיקות אבטחה תקופתיות על הקלאסטר.
