Reverse Shell Cleanup

En este laboratorio, te enfrentarás a un escenario de respuesta ante incidentes en vivo. Un servidor Ubuntu en producción ha sido comprometido, y los atacantes han dejado varias puertas traseras activas en forma de reverse shells ocultas.

Tu misión como analista de ciberseguridad es localizar las cuatro shells, validar sus rutas y ayudar a recuperar el servidor.

En este laboratorio aprenderás:

• Análisis de comportamiento post-explotación
• Búsqueda de persistencia en cron, systemd y scripts sospechosos
• Uso de comandos de Linux para rastreo de procesos y archivos

🌱 Cómo comenzar este laboratorio

👉 Este reto utiliza una máquina virtual exclusiva para escenarios post-explotación.

1. Si aún no la tienes, descarga la máquina virtual desde este enlace:

1https://storage.googleapis.com/cybersecurity-machines/emergency-lab.ova

1. Importa la máquina virtual en VirtualBox o VMware.
2. Inicia la VM y accede como el usuario predeterminado. La terminal ya estará activa al inicio del ejercicio.

📄 Instrucciones

Has iniciado sesión en un servidor Ubuntu en producción después de que el equipo de monitoreo detectara tráfico saliente sospechoso. Se sospecha que el sistema fue comprometido por un atacante que ha dejado cuatro reverse shells ocultas. Tu tarea es localizarlas, identificar la ruta exacta de cada una y validarlas mediante el script validator.py.

Tu misión: encontrar las reverse shells

1. Explora el sistema utilizando comandos que usarías si sospecharas de actividad maliciosa. Piensa en herramientas para ver procesos, archivos abiertos o conexiones de red:

   • find, grep, cat, ls, stat, crontab, systemctl, etc.

2. Reflexiona: ¿qué mecanismos permiten que un script se ejecute automáticamente en Linux? ¿Dónde buscarías señales de persistencia? Examina posibles rutas de persistencia: /etc/cron.d/, /opt/, /usr/local/bin/, /var/backups/, /lib/systemd/system/, etc.

3. Algunos atacantes no crean archivos con nombres extraños. A veces disfrazan sus scripts con nombres genéricos que parecen legítimos. Si un archivo parece inofensivo pero incluye instrucciones para establecer una conexión hacia fuera del servidor, tal vez merezca una mirada más profunda.

4. Explora rutas que suelen pasar desapercibidas en una revisión superficial: directorios usados para backups, scripts personalizados o herramientas internas.

5. Recuerda que los atacantes suelen usar comandos como bash, nc o redirecciones de red para abrir puertas traseras. Pero no siempre los ponen al principio del script...

6. Identifica la ruta absoluta de las 4 shells.

7. Ejecuta el validador y proporciona las rutas una por una:

1validate-lab

Si las rutas son correctas, verás un mensaje como este:

1✅ Well done! You've cleaned the server.
2🎁 Flag: FLAG{FLAG_01}

Ahora es tu turno de pensar como un verdadero analista Blue Team. ¡Recuperar el servidor depende de ti!

¡Buena suerte, Analista!