# Stage 1
174 Meldungen mit priority err
Übersicht der eingegangenen Log Ereignisse
Übersicht der err Meldungen
Übersicht aller err Meldungen
# Stage 2
Stufe 2: Cyber-Wettervorhersage
Das SOC der UoPCCs leitet eine E-Mail an Sie weiter. Sie stammt ursprünglich vom National Cyber Weather Forecast Center (NCWFC). Die Mail warnt vor zunehmenden Aktivitäten gegen Webserver, auf denen die Software läuft, die im Rahmen des UoPIPT-Umfrageprojekts verwendet wird.
Von: Nationale Cyber-Wettervorhersage newfc-noreply@lists.ncfw.example.gov
An: University of Pellworm Security Operations Center up-soc@uop.example.edu
Date: Thu. 18 Aug 2022 08:18:28 +0200
Betreff: Nationale Cyber-Wettervorhersage der Woche 33/2022
An alle, die es betreffen mag,
Allgemeine Warnstufe der Vorhersage: ELEVATED
In jüngster Zeit ist eine Zunahme von Angriffen auf die kürzlich entdeckte Sicherheitslücke in LimeSurvey 5.2.4[1] durch verschiedene, unbekannte Bedrohungsakteure zu verzeichnen.
Der vollständige Modus Operandi dieser Akteure kann derzeit nicht offengelegt werden.
Es ist bekannt, dass die Akteure nach dem ersten Zugriff eine seitliche Bewegung durchführen und später Erpressung betreiben, indem sie wertvolle Unternehmensdaten verschlüsseln (T1486. T1490[21).
Die Exfiltration sensibler Daten wurde ebenfalls beobachtet, wahrscheinlich über UDP-basierte Protokolle (T1048.003[2]).
Bitte denken Sie daran, alle Verstöße und jedes Verhalten von Bedrohungsakteuren, das Sie feststellen, an die National Cyber Security Workforce (NCWF) zu melden.
Beste Grüße und bleiben Sie sicher, NCWFC
[1] CVE-2021-44967 In Lime Survey 5.2.4 gibt es über die Funktion zum Hochladen und Installieren von Plugins eine Schwachstelle, die es einem entfernten böswilligen Benutzer ermöglichen könnte, eine beliebige PHP-Code-Datei hochzuladen
[2] https://attack.mitre.org
Beste Grüße und bleiben Sie sicher,
NCWFC
Ihre Aufgabe
Prüfen Sie, ob Ihre Systeme angegriffen werden und ob der Angriff erfolgreich war oder nicht.
https://www.exploit-db.com/exploits/50573
# Stage 3
Stufe 3: Was? Wo? Warum? Wer?
Sie erhalten einen Anruf, es ist die Dekanin der UoPIPT. Sie ist etwas verunsichert, denn dieser Vorfall kommt zu einem ungünstigen Zeitpunkt, da die Sicherheits- und Datenschutzkonzepte für das Umfrageprojekt noch nicht fertig sind (genauer gesagt: die Arbeit hat gerade erst begonnen). Sie ist besonders besorgt über die Sicherheit der bereits gesammelten Daten.
Sie: UoPCC Operations Team, Sie sprechen mit N N, wie kann ich Ihnen helfen?
Dean: Hallo, zunächst möchte ich Ihnen für die prompte Information über den Angriff auf unser Erhebungssystem danken.
Dean: Sie wissen, dass es für unsere Arbeit und die nächste Finanzierungsrunde von entscheidender Bedeutung ist, dass diese Erhebung ohne Unterbrechung durchgeführt werden kann.
Sie: Ja, ich verstehe. Was brauchen Sie jetzt?
Dean: Wissen Sie, der Papierkram ist noch nicht ganz fertig. Wir müssen zeigen, dass wir die Situation effizient bewältigen können.
Sie: Soweit wir wissen, konnte sich der Angreifer Zugriff auf den Webserver verschaffen, aber wir wissen nicht, wie weit er von dort aus gekommen ist.
Dean: Es kann also sein, dass er nicht in der Lage war, an die Umfragedaten zu gelangen?
Sie: Er konnte auf jeden Fall die Daten sehen, die über den Webserver laufen, aber ob sie in der Lage war, an die im Datenbankserver gespeicherten Daten zu gelangen, ist eine offene Frage.
Dean: Okay, ich bin kein Techniker, wir müssen den Schaden abschätzen.
Dean: Ich brauche einen vollständigen Bericht über den Vorfall für die Personalversammlung später.
Sie: Wir werden uns sofort darum kümmern, Madam.
Dean: Gut, ich rufe Sie in einer halben Stunde zurück, ist das für Sie in Ordnung?
Sie: (mit angespannter Stimme): Ja, natürlich, kein Problem.
Ihre Aufgabe
Finden Sie heraus, wie weit die Widersacher gekommen sind
- Welche Privilegien sie auf dem Webserver haben
- Andere Hosts, auf die sie Zugriff erhalten haben könnten
- Die Stufe der Privilegien, die sie auf den Hosts erhalten haben, auf die sie zugegriffen haben
# Stage 4
Stufe 4: Lösegeldforderung
Auf dem Datenbankserver finden Sie eine Datei mit einer Lösegeldforderung der Lugworm Liberation Front Inc. (LuLiFI), die 55,4998 CF (CoinFish) für den Entschlüsselungsschlüssel für die Untersuchungsdaten fordert.
IHRE DATEN WURDEN DURCH EINEN WURM VERSCHLÜSSELT
Ihr Netzwerk wurde infiltriert und alle Daten wurden mit einem unknackbaren Algorithmus, dem Wurmchiffrierer, verschlüsselt. Sie können es überprüfen: Alle Dateien auf Ihrem System haben die Erweiterung wormciph.
Backups wurden verschlüsselt oder gelöscht und die Backup-Festplatten formatiert. Snapshot und Shadow Volume Copies wurden entfernt !!! GEFAHR !!!
ES GIBT KEINE KOSTENLOSE ENTSCHLÜSSELUNGSSOFTWARE!
NICHT ZURÜCKSETZEN oder ABSCHALTEN - Dateien können beschädigt werden
NICHT UMBENENNEN oder ENTFERNEN der verschlüsselten Dateien
Die Datei readme.note NICHT LÖSCHEN oder UMNENNEN
Dateien NICHT WIEDERHERSTELLEN oder WIEDERHERSTELLEN - dies überschreibt die verschlüsselten Dateien und macht es unmöglich, sie zu entschlüsseln.
!!! GEFAHR !!!
Um Dateien zu entschlüsseln, müssen Sie den privaten Schlüssel erhalten. Die einzige Kopie des privaten Schlüssels, mit dem Sie die Dateien entschlüsseln können, befindet sich auf einem geheimen Server. Der Server wird den Schlüssel innerhalb von 24 Stunden nach Abschluss der Verschlüsselung vernichten. Die Zahlung muss
innerhalb von maximal 24 Stunden erfolgen
Um den privaten Schlüssel abzurufen, müssen Sie 5,4998 CoinFish bezahlen.
CoinFish müssen an diese Adresse geschickt werden: 1 TOG57hFPXcmSmFYbmL33uc5nLWYL1K
Nachdem Sie die Zahlung gesendet haben, senden Sie uns eine E-Mail an: fast _decrypt_und _protect@lugworm.mudflat mit Betreff: ERROR-ID-63100778
Wenn Sie nicht mit CoinFish vertraut sind, können Sie es hier kaufen: www.mudflatmining invalid
Nachdem wir die Zahlung bestätigt haben, senden wir Ihnen den privaten Schlüssel, damit Sie Ihr System entschlüsseln können.
Nebenbei bemerkt: Der Wechselkurs des GoinFish ist etwas gesunken, derzeit ist 1 FishCoin für 13,21 Fishfingers;)
Deine Aufgabe
Finde heraus, wie es zum Einbruch in die Datenbank kam und ob es eine Möglichkeit gibt, die Daten wiederherzustellen, ohne den CoinFish zu bezahlen.
message: mysql or (message: UID and (message: 115 or 0)) and not message: *cron*****
# Stage 5
Szenario
Phase 5: Die Katze ist aus dem Sack
Die National Cyber Security Workforce (NCSWF) teilt Ihnen mit, dass sie Beweise dafür hat, dass alle Inhalte Ihrer Datenbanken veröffentlicht wurden. Die NCSWF möchte auch wissen, warum dieser Vorfall nicht an sie gemeldet wurde.
Von: National Cyber Security Workforce ops@ncswf.example.gov
An: Sicherheitsoperationszentrum der Universität Pellworm op-soc@uop.example.edu
Date: Thu. 19 Aug 2022 11:23:45 +0200
Betreff: NCSWF#2022-5642389 - Alert prod-redblue-fw.geant.org - mögliche Kompromittierung
An alle, die es betreffen mag,
Das NCSWF unterhält ein Netzwerk von Sensoren zur Überwachung bösartiger Cyber-Aktivitäten und arbeitet mit anderen Sensornetzwerkbetreibern zusammen, um Informationen über Bedrohungen auszutauschen.
Es gibt Hinweise darauf, dass Daten aus Ihrem Netzwerk an die Öffentlichkeit gelangt sind. Ein Beispiel dieser Daten ist als Anhang zu dieser E-Mail beigefügt.
host: prod-redblue-fw.geant.org (83.97.95.19) [Beispiel aus der IfUMPaT-Umfrage]
Außerdem ist Ihre Organisation gemäß Abschnitt A.38.B. 17 des Cyber Education Security Act Revision 4 (CESA-R4) verpflichtet, alle kritischen Vorfälle innerhalb von 72 Stunden per Meldeformular CS-R-56-2-9 zu melden. Wenn Ihre Meldung bereits unterwegs ist, können Sie diese Erinnerung als gegenstandslos betrachten.
Mit freundlichen Grüßen,
NCSWF-Warnteam
Ihre Aufgabe
Finden Sie heraus, wie es zu dem Datenabfluss gekommen ist und bereiten Sie eine Antwort an den NCWFC vor.
a. Wie wurden die Daten aus dem Standort verbracht?
a. Anhand von Protokollen?
b. Ziel-IP-Adressen
Nur die wichtigsten Aufzählungspunkte des Berichts für die Lösung, kein vollständig geschriebener Bericht:)
Google Drive
Gist
Clipboard
Sign in with Wallet
